The following patch supports making /sbin, /lib*, and /bin symlinks to the
same named directories under /usr. This change is accomplished in Debian by
installing the "usrmerge" package and is apparently the default in Fedora.
These changes have been tested in Debian and found to give the same labelling
as the policy without this patch in almost all cases. The exceptions were
files where the .fc files in question used one of /bin or /usr/bin that didn't
match what was done in Debian. The small number of changes to the policy
caused by this patch FIXED outstanding bugs.
I expect that this won't give any changes to Fedora and it might fix some bugs
for Gentoo and SUSE.
What it does is remove all duplicates in /bin and /usr/bin etc and uses a
subs_dist change to make the /usr change not affect policy.
diff -ru /home/rjc/src/pol-git/config/file_contexts.subs_dist ./config/file_contexts.subs_dist
--- /home/rjc/src/pol-git/config/file_contexts.subs_dist 2016-12-27 23:12:20.905413820 +1100
+++ ./config/file_contexts.subs_dist 2017-01-10 18:17:55.371528374 +1100
@@ -8,10 +8,14 @@
# It does not perform substitutions as done by sed(1), for
# example, but aliasing.
#
+/bin /usr/bin
+/lib /usr/lib
+/lib32 /usr/lib
+/lib64 /usr/lib
+/libx32 /usr/libx32
+/sbin /usr/sbin
/etc/init.d /etc/rc.d/init.d
/lib/systemd /usr/lib/systemd
-/lib32 /lib
-/lib64 /lib
/run/lock /var/lock
/usr/lib32 /usr/lib
/usr/lib64 /usr/lib
diff -ru /home/rjc/src/pol-git/policy/modules/admin/bootloader.fc ./policy/modules/admin/bootloader.fc
--- /home/rjc/src/pol-git/policy/modules/admin/bootloader.fc 2016-12-31 21:09:24.669504632 +1100
+++ ./policy/modules/admin/bootloader.fc 2017-01-10 17:58:32.497974441 +1100
@@ -8,9 +8,8 @@
/etc/yaboot\.conf.* -- gen_context(system_u:object_r:bootloader_etc_t,s0)
/etc/grub.d(/.*)? -- gen_context(system_u:object_r:bootloader_etc_t,s0)
-/sbin/grub -- gen_context(system_u:object_r:bootloader_exec_t,s0)
-/sbin/lilo.* -- gen_context(system_u:object_r:bootloader_exec_t,s0)
-/sbin/ybin.* -- gen_context(system_u:object_r:bootloader_exec_t,s0)
+/usr/sbin/lilo.* -- gen_context(system_u:object_r:bootloader_exec_t,s0)
+/usr/sbin/ybin.* -- gen_context(system_u:object_r:bootloader_exec_t,s0)
/usr/sbin/grub -- gen_context(system_u:object_r:bootloader_exec_t,s0)
/usr/sbin/grub2?-bios-setup -- gen_context(system_u:object_r:bootloader_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/admin/consoletype.fc ./policy/modules/admin/consoletype.fc
--- /home/rjc/src/pol-git/policy/modules/admin/consoletype.fc 2016-12-31 21:09:24.669504632 +1100
+++ ./policy/modules/admin/consoletype.fc 2017-01-10 18:00:33.225777203 +1100
@@ -1,4 +1 @@
-
-/sbin/consoletype -- gen_context(system_u:object_r:consoletype_exec_t,s0)
-
/usr/sbin/consoletype -- gen_context(system_u:object_r:consoletype_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/admin/dmesg.fc ./policy/modules/admin/dmesg.fc
--- /home/rjc/src/pol-git/policy/modules/admin/dmesg.fc 2016-12-31 21:09:24.669504632 +1100
+++ ./policy/modules/admin/dmesg.fc 2017-01-10 17:59:13.147255406 +1100
@@ -1,4 +1,2 @@
-/bin/dmesg -- gen_context(system_u:object_r:dmesg_exec_t,s0)
-
/usr/bin/dmesg -- gen_context(system_u:object_r:dmesg_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/admin/netutils.fc ./policy/modules/admin/netutils.fc
--- /home/rjc/src/pol-git/policy/modules/admin/netutils.fc 2016-12-31 21:09:24.669504632 +1100
+++ ./policy/modules/admin/netutils.fc 2017-01-10 17:58:32.497974441 +1100
@@ -1,8 +1,5 @@
-/bin/ping.* -- gen_context(system_u:object_r:ping_exec_t,s0)
-/bin/tracepath.* -- gen_context(system_u:object_r:traceroute_exec_t,s0)
-/bin/traceroute.* -- gen_context(system_u:object_r:traceroute_exec_t,s0)
-
-/sbin/arping -- gen_context(system_u:object_r:netutils_exec_t,s0)
+/usr/bin/ping.* -- gen_context(system_u:object_r:ping_exec_t,s0)
+/usr/bin/tracepath.* -- gen_context(system_u:object_r:traceroute_exec_t,s0)
/usr/bin/arping -- gen_context(system_u:object_r:netutils_exec_t,s0)
/usr/bin/lft -- gen_context(system_u:object_r:traceroute_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/admin/su.fc ./policy/modules/admin/su.fc
--- /home/rjc/src/pol-git/policy/modules/admin/su.fc 2016-12-31 21:09:24.669504632 +1100
+++ ./policy/modules/admin/su.fc 2017-01-10 17:58:32.497974441 +1100
@@ -1,5 +1,5 @@
-/bin/su -- gen_context(system_u:object_r:su_exec_t,s0)
+/usr/bin/su -- gen_context(system_u:object_r:su_exec_t,s0)
/usr/(local/)?bin/ksu -- gen_context(system_u:object_r:su_exec_t,s0)
/usr/bin/kdesu -- gen_context(system_u:object_r:su_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/admin/usermanage.fc ./policy/modules/admin/usermanage.fc
--- /home/rjc/src/pol-git/policy/modules/admin/usermanage.fc 2016-07-28 20:33:39.959961616 +1000
+++ ./policy/modules/admin/usermanage.fc 2017-01-10 17:58:34.106025127 +1100
@@ -1,7 +1,3 @@
-ifdef(`distro_gentoo',`
-/bin/passwd -- gen_context(system_u:object_r:passwd_exec_t,s0)
-')
-
ifdef(`distro_debian',`
/etc/cron\.daily/cracklib-runtime -- gen_context(system_u:object_r:crack_exec_t,s0)
')
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/acct.fc ./policy/modules/contrib/acct.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/acct.fc 2016-07-30 08:14:41.065649021 +1000
+++ ./policy/modules/contrib/acct.fc 2017-01-10 17:58:34.106025127 +1100
@@ -2,8 +2,6 @@
/etc/rc\.d/init\.d/psacct -- gen_context(system_u:object_r:acct_initrc_exec_t,s0)
-/sbin/accton -- gen_context(system_u:object_r:acct_exec_t,s0)
-
/usr/sbin/accton -- gen_context(system_u:object_r:acct_exec_t,s0)
/var/account(/.*)? gen_context(system_u:object_r:acct_data_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/alsa.fc ./policy/modules/contrib/alsa.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/alsa.fc 2016-08-22 21:43:27.015004974 +1000
+++ ./policy/modules/contrib/alsa.fc 2017-01-10 17:58:34.106025127 +1100
@@ -4,14 +4,9 @@
/\.config(/.*)? gen_context(system_u:object_r:alsa_var_lib_t,s0)
')
-/bin/alsaunmute -- gen_context(system_u:object_r:alsa_exec_t,s0)
-
/etc/alsa(/.*)? gen_context(system_u:object_r:alsa_etc_t,s0)
/etc/asound\.conf gen_context(system_u:object_r:alsa_etc_t,s0)
-/sbin/alsactl -- gen_context(system_u:object_r:alsa_exec_t,s0)
-/sbin/salsa -- gen_context(system_u:object_r:alsa_exec_t,s0)
-
# Systemd unit files
/usr/lib/systemd/system/[^/]*alsa-restore.* -- gen_context(system_u:object_r:alsa_unit_t,s0)
/usr/lib/systemd/system/[^/]*alsa-state.* -- gen_context(system_u:object_r:alsa_unit_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/apcupsd.fc ./policy/modules/contrib/apcupsd.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/apcupsd.fc 2016-12-27 23:12:23.553486634 +1100
+++ ./policy/modules/contrib/apcupsd.fc 2017-01-10 17:58:34.106025127 +1100
@@ -1,7 +1,5 @@
/etc/rc\.d/init\.d/apcupsd -- gen_context(system_u:object_r:apcupsd_initrc_exec_t,s0)
-/sbin/apcupsd -- gen_context(system_u:object_r:apcupsd_exec_t,s0)
-
/usr/lib/systemd/system/apcupsd.*\.service -- gen_context(system_u:object_r:apcupsd_unit_t,s0)
/usr/sbin/apcupsd -- gen_context(system_u:object_r:apcupsd_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/cachefilesd.fc ./policy/modules/contrib/cachefilesd.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/cachefilesd.fc 2016-12-27 23:12:23.553486634 +1100
+++ ./policy/modules/contrib/cachefilesd.fc 2017-01-10 17:58:34.106025127 +1100
@@ -1,7 +1,5 @@
/etc/rc\.d/init\.d/cachefilesd -- gen_context(system_u:object_r:cachefilesd_initrc_exec_t,s0)
-/sbin/cachefilesd -- gen_context(system_u:object_r:cachefilesd_exec_t,s0)
-
/usr/sbin/cachefilesd -- gen_context(system_u:object_r:cachefilesd_exec_t,s0)
/var/cache/fscache(/.*)? gen_context(system_u:object_r:cachefilesd_cache_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/ccs.fc ./policy/modules/contrib/ccs.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/ccs.fc 2016-12-27 23:12:23.557486744 +1100
+++ ./policy/modules/contrib/ccs.fc 2017-01-10 17:58:34.106025127 +1100
@@ -2,8 +2,6 @@
/etc/rc\.d/init\.d/((ccs)|(ccsd)) -- gen_context(system_u:object_r:ccs_initrc_exec_t,s0)
-/sbin/ccsd -- gen_context(system_u:object_r:ccs_exec_t,s0)
-
/usr/sbin/ccsd -- gen_context(system_u:object_r:ccs_exec_t,s0)
/var/lib/cluster/((ccs)|(ccsd)).* gen_context(system_u:object_r:ccs_var_lib_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/cgroup.fc ./policy/modules/contrib/cgroup.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/cgroup.fc 2016-12-27 23:12:23.557486744 +1100
+++ ./policy/modules/contrib/cgroup.fc 2017-01-10 17:58:34.110025253 +1100
@@ -7,10 +7,6 @@
/etc/rc\.d/init\.d/cgconfig -- gen_context(system_u:object_r:cgconfig_initrc_exec_t,s0)
/etc/rc\.d/init\.d/cgred -- gen_context(system_u:object_r:cgred_initrc_exec_t,s0)
-/sbin/cgconfigparser -- gen_context(system_u:object_r:cgconfig_exec_t,s0)
-/sbin/cgrulesengd -- gen_context(system_u:object_r:cgred_exec_t,s0)
-/sbin/cgclear -- gen_context(system_u:object_r:cgclear_exec_t,s0)
-
/usr/sbin/cgconfigparser -- gen_context(system_u:object_r:cgconfig_exec_t,s0)
/usr/sbin/cgrulesengd -- gen_context(system_u:object_r:cgred_exec_t,s0)
/usr/sbin/cgclear -- gen_context(system_u:object_r:cgclear_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/cpucontrol.fc ./policy/modules/contrib/cpucontrol.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/cpucontrol.fc 2016-12-31 21:09:27.281585112 +1100
+++ ./policy/modules/contrib/cpucontrol.fc 2017-01-10 17:58:34.110025253 +1100
@@ -1,6 +1,4 @@
-/lib/firmware/microcode.*\.dat -- gen_context(system_u:object_r:cpucontrol_conf_t,s0)
-
-/sbin/microcode_ctl -- gen_context(system_u:object_r:cpucontrol_exec_t,s0)
+/usr/lib/firmware/microcode.*\.dat -- gen_context(system_u:object_r:cpucontrol_conf_t,s0)
/usr/lib/firmware/microcode.*\.dat -- gen_context(system_u:object_r:cpucontrol_conf_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/cups.fc ./policy/modules/contrib/cups.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/cups.fc 2016-12-31 21:09:27.281585112 +1100
+++ ./policy/modules/contrib/cups.fc 2017-01-10 17:58:35.146057909 +1100
@@ -18,8 +18,6 @@
/etc/printcap.* -- gen_context(system_u:object_r:cupsd_rw_etc_t,s0)
-/lib/udev/udev-configure-printer -- gen_context(system_u:object_r:cupsd_config_exec_t,s0)
-
/opt/brother/Printers(.*/)?inf(/.*)? gen_context(system_u:object_r:cupsd_rw_etc_t,s0)
/opt/gutenprint/ppds(/.*)? gen_context(system_u:object_r:cupsd_rw_etc_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/dbus.fc ./policy/modules/contrib/dbus.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/dbus.fc 2016-12-27 23:12:23.561486854 +1100
+++ ./policy/modules/contrib/dbus.fc 2017-01-10 17:58:34.110025253 +1100
@@ -2,9 +2,7 @@
/etc/dbus-.*(/.*)? gen_context(system_u:object_r:dbusd_etc_t,s0)
-/bin/dbus-daemon -- gen_context(system_u:object_r:dbusd_exec_t,s0)
-
-/lib/dbus-.*/dbus-daemon-launch-helper -- gen_context(system_u:object_r:dbusd_exec_t,s0)
+/usr/bin/dbus-daemon -- gen_context(system_u:object_r:dbusd_exec_t,s0)
/usr/bin/dbus-daemon(-1)? -- gen_context(system_u:object_r:dbusd_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/devicekit.fc ./policy/modules/contrib/devicekit.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/devicekit.fc 2016-12-27 23:12:23.565486964 +1100
+++ ./policy/modules/contrib/devicekit.fc 2017-01-10 17:58:35.146057909 +1100
@@ -1,6 +1,3 @@
-/lib/udev/udisks-part-id -- gen_context(system_u:object_r:devicekit_disk_exec_t,s0)
-/lib/udisks2/udisksd -- gen_context(system_u:object_r:devicekit_disk_exec_t,s0)
-
/usr/lib/udev/udisks-part-id -- gen_context(system_u:object_r:devicekit_disk_exec_t,s0)
/usr/lib/udisks2/udisksd -- gen_context(system_u:object_r:devicekit_disk_exec_t,s0)
/usr/lib/udisks/udisks-daemon -- gen_context(system_u:object_r:devicekit_disk_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/drbd.fc ./policy/modules/contrib/drbd.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/drbd.fc 2016-07-30 08:14:41.097649866 +1000
+++ ./policy/modules/contrib/drbd.fc 2017-01-10 17:58:34.110025253 +1100
@@ -1,8 +1,5 @@
/etc/rc\.d/init\.d/drbd -- gen_context(system_u:object_r:drbd_initrc_exec_t,s0)
-/sbin/drbdadm -- gen_context(system_u:object_r:drbd_exec_t,s0)
-/sbin/drbdsetup -- gen_context(system_u:object_r:drbd_exec_t,s0)
-
/usr/lib/ocf/resource.\d/linbit/drbd -- gen_context(system_u:object_r:drbd_exec_t,s0)
/usr/sbin/drbdadm -- gen_context(system_u:object_r:drbd_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/iscsi.fc ./policy/modules/contrib/iscsi.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/iscsi.fc 2016-12-27 23:12:23.577487294 +1100
+++ ./policy/modules/contrib/iscsi.fc 2017-01-10 17:58:34.110025253 +1100
@@ -1,9 +1,5 @@
/etc/rc\.d/init\.d/((iscsi)|(iscsid)) -- gen_context(system_u:object_r:iscsi_initrc_exec_t,s0)
-/sbin/iscsid -- gen_context(system_u:object_r:iscsid_exec_t,s0)
-/sbin/brcm_iscsiuio -- gen_context(system_u:object_r:iscsid_exec_t,s0)
-/sbin/iscsiuio -- gen_context(system_u:object_r:iscsid_exec_t,s0)
-
/usr/sbin/iscsid -- gen_context(system_u:object_r:iscsid_exec_t,s0)
/usr/sbin/brcm_iscsiuio -- gen_context(system_u:object_r:iscsid_exec_t,s0)
/usr/sbin/iscsiuio -- gen_context(system_u:object_r:iscsid_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/kdump.fc ./policy/modules/contrib/kdump.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/kdump.fc 2016-08-07 19:54:37.787262067 +1000
+++ ./policy/modules/contrib/kdump.fc 2017-01-10 17:58:34.110025253 +1100
@@ -2,14 +2,9 @@
/etc/rc\.d/init\.d/kdump -- gen_context(system_u:object_r:kdump_initrc_exec_t,s0)
-/bin/kdumpctl -- gen_context(system_u:object_r:kdumpctl_exec_t,s0)
-
/usr/bin/kdumpctl -- gen_context(system_u:object_r:kdumpctl_exec_t,s0)
/usr/lib/systemd/system/kdump.*\.service -- gen_context(system_u:object_r:kdump_unit_t,s0)
-/sbin/kdump -- gen_context(system_u:object_r:kdump_exec_t,s0)
-/sbin/kexec -- gen_context(system_u:object_r:kdump_exec_t,s0)
-
/usr/sbin/kdump -- gen_context(system_u:object_r:kdump_exec_t,s0)
/usr/sbin/kexec -- gen_context(system_u:object_r:kdump_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/kudzu.fc ./policy/modules/contrib/kudzu.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/kudzu.fc 2016-12-27 23:12:23.577487294 +1100
+++ ./policy/modules/contrib/kudzu.fc 2017-01-10 17:58:34.110025253 +1100
@@ -1,8 +1,5 @@
/etc/rc\.d/init\.d/kudzu -- gen_context(system_u:object_r:kudzu_initrc_exec_t,s0)
-/sbin/kmodule -- gen_context(system_u:object_r:kudzu_exec_t,s0)
-/sbin/kudzu -- gen_context(system_u:object_r:kudzu_exec_t,s0)
-
/usr/sbin/kmodule -- gen_context(system_u:object_r:kudzu_exec_t,s0)
/usr/sbin/kudzu -- gen_context(system_u:object_r:kudzu_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/loadkeys.fc ./policy/modules/contrib/loadkeys.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/loadkeys.fc 2017-01-10 17:57:41.780375375 +1100
+++ ./policy/modules/contrib/loadkeys.fc 2017-01-10 18:00:07.648971992 +1100
@@ -1,5 +1,2 @@
-/bin/loadkeys -- gen_context(system_u:object_r:loadkeys_exec_t,s0)
-/bin/unikeys -- gen_context(system_u:object_r:loadkeys_exec_t,s0)
-
/usr/bin/loadkeys -- gen_context(system_u:object_r:loadkeys_exec_t,s0)
/usr/bin/unikeys -- gen_context(system_u:object_r:loadkeys_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/mta.fc ./policy/modules/contrib/mta.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/mta.fc 2016-07-30 08:14:41.121650499 +1000
+++ ./policy/modules/contrib/mta.fc 2017-01-10 17:58:35.118057026 +1100
@@ -5,8 +5,6 @@
HOME_DIR/Maildir(/.*)? gen_context(system_u:object_r:mail_home_rw_t,s0)
HOME_DIR/\.maildir(/.*)? gen_context(system_u:object_r:mail_home_rw_t,s0)
-/bin/mail(x)? -- gen_context(system_u:object_r:sendmail_exec_t,s0)
-
/etc/aliases -- gen_context(system_u:object_r:etc_aliases_t,s0)
/etc/aliases\.db -- gen_context(system_u:object_r:etc_aliases_t,s0)
/etc/mail(/.*)? gen_context(system_u:object_r:etc_mail_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/networkmanager.fc ./policy/modules/contrib/networkmanager.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/networkmanager.fc 2016-12-27 23:12:23.597487844 +1100
+++ ./policy/modules/contrib/networkmanager.fc 2017-01-10 17:58:35.118057026 +1100
@@ -21,9 +21,6 @@
/usr/lib/systemd/system/[^/]*NetworkManager.* -- gen_context(system_u:object_r:NetworkManager_unit_t,s0)
/usr/lib/systemd/system/[^/]*wpa_supplicant.* -- gen_context(system_u:object_r:NetworkManager_unit_t,s0)
-/sbin/wpa_cli -- gen_context(system_u:object_r:wpa_cli_exec_t,s0)
-/sbin/wpa_supplicant -- gen_context(system_u:object_r:NetworkManager_exec_t,s0)
-
/usr/bin/NetworkManager -- gen_context(system_u:object_r:NetworkManager_exec_t,s0)
/usr/bin/wpa_cli -- gen_context(system_u:object_r:wpa_cli_exec_t,s0)
/usr/bin/wpa_supplicant -- gen_context(system_u:object_r:NetworkManager_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/nis.fc ./policy/modules/contrib/nis.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/nis.fc 2016-12-27 23:12:23.597487844 +1100
+++ ./policy/modules/contrib/nis.fc 2017-01-10 17:58:35.118057026 +1100
@@ -5,8 +5,6 @@
/etc/ypserv\.conf -- gen_context(system_u:object_r:ypserv_conf_t,s0)
-/sbin/ypbind -- gen_context(system_u:object_r:ypbind_exec_t,s0)
-
/usr/lib/yp/ypxfr -- gen_context(system_u:object_r:ypxfr_exec_t,s0)
/usr/lib/systemd/system/ypbind.*\.service -- gen_context(system_u:object_r:ypbind_unit_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/nut.fc ./policy/modules/contrib/nut.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/nut.fc 2016-12-27 23:12:23.601487954 +1100
+++ ./policy/modules/contrib/nut.fc 2017-01-10 17:58:35.122057152 +1100
@@ -4,10 +4,6 @@
/etc/rc\.d/init\.d/nut-driver -- gen_context(system_u:object_r:nut_initrc_exec_t,s0)
/etc/rc\.d/init\.d/nut-server -- gen_context(system_u:object_r:nut_initrc_exec_t,s0)
-/sbin/upsd -- gen_context(system_u:object_r:nut_upsd_exec_t,s0)
-/sbin/upsdrvctl -- gen_context(system_u:object_r:nut_upsdrvctl_exec_t,s0)
-/sbin/upsmon -- gen_context(system_u:object_r:nut_upsmon_exec_t,s0)
-
/usr/lib/cgi-bin/nut/upsimage\.cgi -- gen_context(system_u:object_r:httpd_nutups_cgi_script_exec_t,s0)
/usr/lib/cgi-bin/nut/upsset\.cgi -- gen_context(system_u:object_r:httpd_nutups_cgi_script_exec_t,s0)
/usr/lib/cgi-bin/nut/upsstats\.cgi -- gen_context(system_u:object_r:httpd_nutups_cgi_script_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/oddjob.fc ./policy/modules/contrib/oddjob.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/oddjob.fc 2016-12-27 23:12:23.601487954 +1100
+++ ./policy/modules/contrib/oddjob.fc 2017-01-10 17:58:35.122057152 +1100
@@ -1,5 +1,3 @@
-/sbin/mkhomedir_helper -- gen_context(system_u:object_r:oddjob_mkhomedir_exec_t,s0)
-
/usr/lib/oddjob/mkhomedir -- gen_context(system_u:object_r:oddjob_mkhomedir_exec_t,s0)
/usr/libexec/oddjob/mkhomedir -- gen_context(system_u:object_r:oddjob_mkhomedir_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/pcmcia.fc ./policy/modules/contrib/pcmcia.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/pcmcia.fc 2016-12-27 23:12:23.601487954 +1100
+++ ./policy/modules/contrib/pcmcia.fc 2017-01-10 17:58:35.122057152 +1100
@@ -1,8 +1,5 @@
/etc/apm/event\.d/pcmcia -- gen_context(system_u:object_r:cardmgr_exec_t,s0)
-/sbin/cardctl -- gen_context(system_u:object_r:cardctl_exec_t,s0)
-/sbin/cardmgr -- gen_context(system_u:object_r:cardmgr_exec_t,s0)
-
/usr/sbin/cardctl -- gen_context(system_u:object_r:cardctl_exec_t,s0)
/usr/sbin/cardmgr -- gen_context(system_u:object_r:cardmgr_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/plymouthd.fc ./policy/modules/contrib/plymouthd.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/plymouthd.fc 2016-12-27 23:12:23.605488064 +1100
+++ ./policy/modules/contrib/plymouthd.fc 2017-01-10 17:58:35.122057152 +1100
@@ -1,7 +1,3 @@
-/bin/plymouth -- gen_context(system_u:object_r:plymouth_exec_t,s0)
-
-/sbin/plymouthd -- gen_context(system_u:object_r:plymouthd_exec_t,s0)
-
/usr/bin/plymouth -- gen_context(system_u:object_r:plymouth_exec_t,s0)
# Systemd unit file
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/portmap.fc ./policy/modules/contrib/portmap.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/portmap.fc 2016-12-27 23:12:23.605488064 +1100
+++ ./policy/modules/contrib/portmap.fc 2017-01-10 17:58:35.122057152 +1100
@@ -1,9 +1,5 @@
/etc/rc\.d/init\.d/portmap -- gen_context(system_u:object_r:portmap_initrc_exec_t,s0)
-/sbin/pmap_dump -- gen_context(system_u:object_r:portmap_helper_exec_t,s0)
-/sbin/pmap_set -- gen_context(system_u:object_r:portmap_helper_exec_t,s0)
-/sbin/portmap -- gen_context(system_u:object_r:portmap_exec_t,s0)
-
/usr/sbin/pmap_dump -- gen_context(system_u:object_r:portmap_helper_exec_t,s0)
/usr/sbin/pmap_set -- gen_context(system_u:object_r:portmap_helper_exec_t,s0)
/usr/sbin/portmap -- gen_context(system_u:object_r:portmap_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/portreserve.fc ./policy/modules/contrib/portreserve.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/portreserve.fc 2016-12-27 23:12:23.605488064 +1100
+++ ./policy/modules/contrib/portreserve.fc 2017-01-10 17:58:35.122057152 +1100
@@ -2,8 +2,6 @@
/etc/rc\.d/init\.d/portreserve -- gen_context(system_u:object_r:portreserve_initrc_exec_t,s0)
-/sbin/portreserve -- gen_context(system_u:object_r:portreserve_exec_t,s0)
-
/usr/sbin/portreserve -- gen_context(system_u:object_r:portreserve_exec_t,s0)
/run/portreserve(/.*)? gen_context(system_u:object_r:portreserve_var_run_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/ppp.fc ./policy/modules/contrib/ppp.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/ppp.fc 2016-12-27 23:12:23.605488064 +1100
+++ ./policy/modules/contrib/ppp.fc 2017-01-10 17:58:35.126057278 +1100
@@ -9,9 +9,6 @@
/etc/ppp/resolv\.conf -- gen_context(system_u:object_r:pppd_etc_rw_t,s0)
/etc/ppp/(auth|ip(v6|x)?)-(up|down) -- gen_context(system_u:object_r:pppd_initrc_exec_t,s0)
-/sbin/ppp-watch -- gen_context(system_u:object_r:pppd_exec_t,s0)
-/sbin/pppoe-server -- gen_context(system_u:object_r:pppd_exec_t,s0)
-
/usr/lib/systemd/system/ppp.*\.service -- gen_context(system_u:object_r:pppd_unit_t,s0)
/usr/sbin/ipppd -- gen_context(system_u:object_r:pppd_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/prelude.fc ./policy/modules/contrib/prelude.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/prelude.fc 2016-12-27 23:12:23.605488064 +1100
+++ ./policy/modules/contrib/prelude.fc 2017-01-10 17:58:35.126057278 +1100
@@ -4,8 +4,6 @@
/etc/rc\.d/init\.d/prelude-lml -- gen_context(system_u:object_r:prelude_initrc_exec_t,s0)
/etc/rc\.d/init\.d/prelude-manager -- gen_context(system_u:object_r:prelude_initrc_exec_t,s0)
-/sbin/audisp-prelude -- gen_context(system_u:object_r:prelude_audisp_exec_t,s0)
-
/usr/bin/prelude-correlator -- gen_context(system_u:object_r:prelude_correlator_exec_t,s0)
/usr/bin/prelude-lml -- gen_context(system_u:object_r:prelude_lml_exec_t,s0)
/usr/bin/prelude-manager -- gen_context(system_u:object_r:prelude_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/quota.fc ./policy/modules/contrib/quota.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/quota.fc 2016-12-27 23:12:23.609488174 +1100
+++ ./policy/modules/contrib/quota.fc 2017-01-10 17:58:35.126057278 +1100
@@ -10,9 +10,6 @@
/etc/rc\.d/init\.d/quota_nld -- gen_context(system_u:object_r:quota_nld_initrc_exec_t,s0)
-/sbin/convertquota -- gen_context(system_u:object_r:quota_exec_t,s0)
-/sbin/quota(check|on) -- gen_context(system_u:object_r:quota_exec_t,s0)
-
/usr/sbin/convertquota -- gen_context(system_u:object_r:quota_exec_t,s0)
/usr/sbin/quota(check|on) -- gen_context(system_u:object_r:quota_exec_t,s0)
/usr/sbin/quota_nld -- gen_context(system_u:object_r:quota_nld_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/raid.fc ./policy/modules/contrib/raid.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/raid.fc 2016-12-27 23:12:23.609488174 +1100
+++ ./policy/modules/contrib/raid.fc 2017-01-10 17:58:35.126057278 +1100
@@ -3,14 +3,6 @@
/etc/rc\.d/init\.d/mdmonitor -- gen_context(system_u:object_r:mdadm_initrc_exec_t,s0)
-/sbin/iprdump -- gen_context(system_u:object_r:mdadm_exec_t,s0)
-/sbin/iprinit -- gen_context(system_u:object_r:mdadm_exec_t,s0)
-/sbin/iprupdate -- gen_context(system_u:object_r:mdadm_exec_t,s0)
-/sbin/mdadm -- gen_context(system_u:object_r:mdadm_exec_t,s0)
-/sbin/mdmon -- gen_context(system_u:object_r:mdadm_exec_t,s0)
-/sbin/mdmpd -- gen_context(system_u:object_r:mdadm_exec_t,s0)
-/sbin/raid-check -- gen_context(system_u:object_r:mdadm_exec_t,s0)
-
# Systemd unit files
/usr/lib/systemd/system/[^/]*mdadm-.* -- gen_context(system_u:object_r:mdadm_unit_t,s0)
/usr/lib/systemd/system/[^/]*mdmon.* -- gen_context(system_u:object_r:mdadm_unit_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/rdisc.fc ./policy/modules/contrib/rdisc.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/rdisc.fc 2016-07-30 08:14:41.141651028 +1000
+++ ./policy/modules/contrib/rdisc.fc 2017-01-10 17:58:35.126057278 +1100
@@ -1,3 +1 @@
-/sbin/rdisc -- gen_context(system_u:object_r:rdisc_exec_t,s0)
-
/usr/sbin/rdisc -- gen_context(system_u:object_r:rdisc_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/readahead.fc ./policy/modules/contrib/readahead.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/readahead.fc 2016-12-27 23:12:23.609488174 +1100
+++ ./policy/modules/contrib/readahead.fc 2017-01-10 17:58:35.126057278 +1100
@@ -1,5 +1,3 @@
-/sbin/readahead.* -- gen_context(system_u:object_r:readahead_exec_t,s0)
-
/usr/sbin/readahead.* -- gen_context(system_u:object_r:readahead_exec_t,s0)
/var/lib/readahead(/.*)? gen_context(system_u:object_r:readahead_var_lib_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/resmgr.fc ./policy/modules/contrib/resmgr.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/resmgr.fc 2016-12-27 23:12:23.609488174 +1100
+++ ./policy/modules/contrib/resmgr.fc 2017-01-10 17:58:35.126057278 +1100
@@ -2,8 +2,6 @@
/etc/rc\.d/init\.d/resmgr -- gen_context(system_u:object_r:resmgrd_initrc_exec_t,s0)
-/sbin/resmgrd -- gen_context(system_u:object_r:resmgrd_exec_t,s0)
-
/usr/sbin/resmgrd -- gen_context(system_u:object_r:resmgrd_exec_t,s0)
/run/\.resmgr_socket -s gen_context(system_u:object_r:resmgrd_var_run_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/rpcbind.fc ./policy/modules/contrib/rpcbind.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/rpcbind.fc 2016-12-27 23:12:23.613488284 +1100
+++ ./policy/modules/contrib/rpcbind.fc 2017-01-10 17:58:35.130057404 +1100
@@ -1,7 +1,5 @@
/etc/rc\.d/init\.d/rpcbind -- gen_context(system_u:object_r:rpcbind_initrc_exec_t,s0)
-/sbin/rpcbind -- gen_context(system_u:object_r:rpcbind_exec_t,s0)
-
/usr/sbin/rpcbind -- gen_context(system_u:object_r:rpcbind_exec_t,s0)
/var/cache/rpcbind(/.*)? gen_context(system_u:object_r:rpcbind_var_lib_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/rpc.fc ./policy/modules/contrib/rpc.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/rpc.fc 2016-12-27 23:12:23.613488284 +1100
+++ ./policy/modules/contrib/rpc.fc 2017-01-10 17:58:35.130057404 +1100
@@ -4,9 +4,6 @@
/etc/rc\.d/init\.d/nfslock -- gen_context(system_u:object_r:rpcd_initrc_exec_t,s0)
/etc/rc\.d/init\.d/rpcidmapd -- gen_context(system_u:object_r:rpcd_initrc_exec_t,s0)
-/sbin/rpc\..* -- gen_context(system_u:object_r:rpcd_exec_t,s0)
-/sbin/sm-notify -- gen_context(system_u:object_r:rpcd_exec_t,s0)
-
/usr/lib/systemd/system/nfs.*\.service -- gen_context(system_u:object_r:nfsd_unit_t,s0)
/usr/lib/systemd/system/rpc.*\.service -- gen_context(system_u:object_r:rpcd_unit_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/rpm.fc ./policy/modules/contrib/rpm.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/rpm.fc 2016-12-31 21:09:27.285585236 +1100
+++ ./policy/modules/contrib/rpm.fc 2017-01-10 17:58:35.130057404 +1100
@@ -1,8 +1,6 @@
-/bin/rpm -- gen_context(system_u:object_r:rpm_exec_t,s0)
-
/etc/rc\.d/init\.d/bcfg2 -- gen_context(system_u:object_r:rpm_initrc_exec_t,s0)
-/sbin/yast2 -- gen_context(system_u:object_r:rpm_exec_t,s0)
+/usr/sbin/yast2 -- gen_context(system_u:object_r:rpm_exec_t,s0)
/usr/bin/debuginfo-install -- gen_context(system_u:object_r:debuginfo_exec_t,s0)
/usr/bin/fedora-rmdevelrpms -- gen_context(system_u:object_r:rpm_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/shorewall.fc ./policy/modules/contrib/shorewall.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/shorewall.fc 2016-07-30 08:14:41.149651239 +1000
+++ ./policy/modules/contrib/shorewall.fc 2017-01-10 17:58:35.130057404 +1100
@@ -3,9 +3,6 @@
/etc/shorewall(/.*)? gen_context(system_u:object_r:shorewall_etc_t,s0)
/etc/shorewall-lite(/.*)? gen_context(system_u:object_r:shorewall_etc_t,s0)
-/sbin/shorewall6? -- gen_context(system_u:object_r:shorewall_exec_t,s0)
-/sbin/shorewall-lite -- gen_context(system_u:object_r:shorewall_exec_t,s0)
-
/usr/sbin/shorewall6? -- gen_context(system_u:object_r:shorewall_exec_t,s0)
/usr/sbin/shorewall-lite -- gen_context(system_u:object_r:shorewall_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/shutdown.fc ./policy/modules/contrib/shutdown.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/shutdown.fc 2016-12-27 23:12:23.613488284 +1100
+++ ./policy/modules/contrib/shutdown.fc 2017-01-10 17:58:35.130057404 +1100
@@ -1,9 +1,5 @@
/etc/nologin -- gen_context(system_u:object_r:shutdown_etc_t,s0)
-/lib/upstart/shutdown -- gen_context(system_u:object_r:shutdown_exec_t,s0)
-
-/sbin/shutdown -- gen_context(system_u:object_r:shutdown_exec_t,s0)
-
/usr/lib/upstart/shutdown -- gen_context(system_u:object_r:shutdown_exec_t,s0)
/usr/sbin/shutdown -- gen_context(system_u:object_r:shutdown_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/usbmodules.fc ./policy/modules/contrib/usbmodules.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/usbmodules.fc 2016-07-30 08:14:41.157651450 +1000
+++ ./policy/modules/contrib/usbmodules.fc 2017-01-10 17:58:35.130057404 +1100
@@ -1,3 +1 @@
-/sbin/usbmodules -- gen_context(system_u:object_r:usbmodules_exec_t,s0)
-
/usr/sbin/usbmodules -- gen_context(system_u:object_r:usbmodules_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/vpn.fc ./policy/modules/contrib/vpn.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/vpn.fc 2016-12-27 23:12:23.621488504 +1100
+++ ./policy/modules/contrib/vpn.fc 2017-01-10 17:58:35.134057530 +1100
@@ -1,5 +1,3 @@
-/sbin/vpnc -- gen_context(system_u:object_r:vpnc_exec_t,s0)
-
/usr/bin/openconnect -- gen_context(system_u:object_r:vpnc_exec_t,s0)
/usr/sbin/vpnc -- gen_context(system_u:object_r:vpnc_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/zosremote.fc ./policy/modules/contrib/zosremote.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/zosremote.fc 2016-07-30 08:14:41.165651661 +1000
+++ ./policy/modules/contrib/zosremote.fc 2017-01-10 17:58:35.134057530 +1100
@@ -1,3 +1 @@
-/sbin/audispd-zos-remote -- gen_context(system_u:object_r:zos_remote_exec_t,s0)
-
/usr/sbin/audispd-zos-remote -- gen_context(system_u:object_r:zos_remote_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/kernel/corecommands.fc ./policy/modules/kernel/corecommands.fc
--- /home/rjc/src/pol-git/policy/modules/kernel/corecommands.fc 2016-12-31 21:09:24.673504756 +1100
+++ ./policy/modules/kernel/corecommands.fc 2017-01-10 18:02:00.404520096 +1100
@@ -1,19 +1,17 @@
#
# /bin
#
-/bin -d gen_context(system_u:object_r:bin_t,s0)
-/bin/.* gen_context(system_u:object_r:bin_t,s0)
-/bin/d?ash -- gen_context(system_u:object_r:shell_exec_t,s0)
-/bin/bash -- gen_context(system_u:object_r:shell_exec_t,s0)
-/bin/bash2 -- gen_context(system_u:object_r:shell_exec_t,s0)
-/bin/fish -- gen_context(system_u:object_r:shell_exec_t,s0)
-/bin/ksh.* -- gen_context(system_u:object_r:shell_exec_t,s0)
-/bin/mksh -- gen_context(system_u:object_r:shell_exec_t,s0)
-/bin/mountpoint -- gen_context(system_u:object_r:bin_t,s0)
-/bin/sash -- gen_context(system_u:object_r:shell_exec_t,s0)
-/bin/tcsh -- gen_context(system_u:object_r:shell_exec_t,s0)
-/bin/yash -- gen_context(system_u:object_r:shell_exec_t,s0)
-/bin/zsh.* -- gen_context(system_u:object_r:shell_exec_t,s0)
+/usr/bin gen_context(system_u:object_r:bin_t,s0)
+/usr/bin/.* gen_context(system_u:object_r:bin_t,s0)
+/usr/bin/d?ash -- gen_context(system_u:object_r:shell_exec_t,s0)
+/usr/bin/bash -- gen_context(system_u:object_r:shell_exec_t,s0)
+/usr/bin/bash2 -- gen_context(system_u:object_r:shell_exec_t,s0)
+/usr/bin/ksh.* -- gen_context(system_u:object_r:shell_exec_t,s0)
+/usr/bin/mksh -- gen_context(system_u:object_r:shell_exec_t,s0)
+/usr/bin/mountpoint -- gen_context(system_u:object_r:bin_t,s0)
+/usr/bin/sash -- gen_context(system_u:object_r:shell_exec_t,s0)
+/usr/bin/yash -- gen_context(system_u:object_r:shell_exec_t,s0)
+/usr/bin/zsh.* -- gen_context(system_u:object_r:shell_exec_t,s0)
#
# /dev
@@ -131,30 +129,30 @@
# /lib
#
-/lib/nut/.* -- gen_context(system_u:object_r:bin_t,s0)
-/lib/readahead(/.*)? gen_context(system_u:object_r:bin_t,s0)
-/lib/security/pam_krb5/pam_krb5_storetmp -- gen_context(system_u:object_r:bin_t,s0)
-/lib/udev/[^/]* -- gen_context(system_u:object_r:bin_t,s0)
-/lib/udev/scsi_id -- gen_context(system_u:object_r:bin_t,s0)
-/lib/upstart(/.*)? gen_context(system_u:object_r:bin_t,s0)
+/usr/lib/nut/.* -- gen_context(system_u:object_r:bin_t,s0)
+/usr/lib/readahead(/.*)? gen_context(system_u:object_r:bin_t,s0)
+/usr/lib/security/pam_krb5/pam_krb5_storetmp -- gen_context(system_u:object_r:bin_t,s0)
+/usr/lib/udev/[^/]* -- gen_context(system_u:object_r:bin_t,s0)
+/usr/lib/udev/scsi_id -- gen_context(system_u:object_r:bin_t,s0)
+/usr/lib/upstart(/.*)? gen_context(system_u:object_r:bin_t,s0)
ifdef(`distro_gentoo',`
-/lib/dhcpcd/dhcpcd-run-hooks -- gen_context(system_u:object_r:bin_t,s0)
+/usr/lib/dhcpcd/dhcpcd-run-hooks -- gen_context(system_u:object_r:bin_t,s0)
-/lib/rcscripts/addons(/.*)? gen_context(system_u:object_r:bin_t,s0)
-/lib/rcscripts/sh(/.*)? gen_context(system_u:object_r:bin_t,s0)
-/lib/rcscripts/net\.modules\.d/helpers\.d/dhclient-.* -- gen_context(system_u:object_r:bin_t,s0)
-/lib/rcscripts/net\.modules\.d/helpers\.d/udhcpc-.* -- gen_context(system_u:object_r:bin_t,s0)
+/usr/lib/rcscripts/addons(/.*)? gen_context(system_u:object_r:bin_t,s0)
+/usr/lib/rcscripts/sh(/.*)? gen_context(system_u:object_r:bin_t,s0)
+/usr/lib/rcscripts/net\.modules\.d/helpers\.d/dhclient-.* -- gen_context(system_u:object_r:bin_t,s0)
+/usr/lib/rcscripts/net\.modules\.d/helpers\.d/udhcpc-.* -- gen_context(system_u:object_r:bin_t,s0)
')
#
# /sbin
#
-/sbin -d gen_context(system_u:object_r:bin_t,s0)
-/sbin/.* gen_context(system_u:object_r:bin_t,s0)
-/sbin/insmod_ksymoops_clean -- gen_context(system_u:object_r:bin_t,s0)
-/sbin/mkfs\.cramfs -- gen_context(system_u:object_r:bin_t,s0)
-/sbin/nologin -- gen_context(system_u:object_r:shell_exec_t,s0)
+/usr/sbin gen_context(system_u:object_r:bin_t,s0)
+/usr/sbin/.* gen_context(system_u:object_r:bin_t,s0)
+/usr/sbin/insmod_ksymoops_clean -- gen_context(system_u:object_r:bin_t,s0)
+/usr/sbin/mkfs\.cramfs -- gen_context(system_u:object_r:bin_t,s0)
+/usr/sbin/nologin -- gen_context(system_u:object_r:shell_exec_t,s0)
#
# /opt
@@ -181,7 +179,7 @@
# /usr
#
/usr/(.*/)?Bin(/.*)? gen_context(system_u:object_r:bin_t,s0)
-/usr/(.*/)?bin(/.*)? gen_context(system_u:object_r:bin_t,s0)
+/usr/bin(/.*)? gen_context(system_u:object_r:bin_t,s0)
/usr/bin/d?ash -- gen_context(system_u:object_r:shell_exec_t,s0)
/usr/bin/bash -- gen_context(system_u:object_r:shell_exec_t,s0)
/usr/bin/bash2 -- gen_context(system_u:object_r:shell_exec_t,s0)
@@ -196,10 +194,10 @@
/usr/bin/yash -- gen_context(system_u:object_r:shell_exec_t,s0)
/usr/bin/zsh.* -- gen_context(system_u:object_r:shell_exec_t,s0)
-/usr/lib(.*/)?bin(/.*)? gen_context(system_u:object_r:bin_t,s0)
+/usr/lib/(.*/)?bin(/.*)? gen_context(system_u:object_r:bin_t,s0)
/usr/(.*/)?sbin(/.*)? gen_context(system_u:object_r:bin_t,s0)
-/usr/lib(.*/)?sbin(/.*)? gen_context(system_u:object_r:bin_t,s0)
+/usr/lib/(.*/)?sbin(/.*)? gen_context(system_u:object_r:bin_t,s0)
/usr/lib/at-spi2-core(/.*)? gen_context(system_u:object_r:bin_t,s0)
/usr/lib/avahi/avahi-daemon-check-dns\.sh -- gen_context(system_u:object_r:bin_t,s0)
@@ -284,14 +282,14 @@
/usr/lib/[^/]*/mozilla-xremote-client -- gen_context(system_u:object_r:bin_t,s0)
/usr/lib/thunderbird.*/mozilla-xremote-client -- gen_context(system_u:object_r:bin_t,s0)
-/usr/lib/xen/bin(/.*)? gen_context(system_u:object_r:bin_t,s0)
-
/usr/libexec(/.*)? gen_context(system_u:object_r:bin_t,s0)
/usr/libexec/git-core/git-shell -- gen_context(system_u:object_r:shell_exec_t,s0)
/usr/libexec/sesh -- gen_context(system_u:object_r:shell_exec_t,s0)
/usr/libexec/openssh/sftp-server -- gen_context(system_u:object_r:bin_t,s0)
+/usr/local/bin(/.*)? gen_context(system_u:object_r:bin_t,s0)
+/usr/local/sbin(/.*)? gen_context(system_u:object_r:bin_t,s0)
/usr/local/Brother(/.*)? gen_context(system_u:object_r:bin_t,s0)
/usr/local/Printer(/.*)? gen_context(system_u:object_r:bin_t,s0)
/usr/local/linuxprinter/filters(/.*)? gen_context(system_u:object_r:bin_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/kernel/corenetwork.fc ./policy/modules/kernel/corenetwork.fc
--- /home/rjc/src/pol-git/policy/modules/kernel/corenetwork.fc 2017-01-10 17:57:39.236295140 +1100
+++ ./policy/modules/kernel/corenetwork.fc 2017-01-10 18:02:39.949763456 +1100
@@ -5,8 +5,5 @@
/dev/net/.* -c gen_context(system_u:object_r:tun_tap_device_t,s0)
-/lib/udev/devices/ppp -c gen_context(system_u:object_r:ppp_device_t,s0)
-/lib/udev/devices/net/.* -c gen_context(system_u:object_r:tun_tap_device_t,s0)
-
/usr/lib/udev/devices/ppp -c gen_context(system_u:object_r:ppp_device_t,s0)
/usr/lib/udev/devices/net/.* -c gen_context(system_u:object_r:tun_tap_device_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/kernel/devices.fc ./policy/modules/kernel/devices.fc
--- /home/rjc/src/pol-git/policy/modules/kernel/devices.fc 2016-12-31 21:09:24.673504756 +1100
+++ ./policy/modules/kernel/devices.fc 2017-01-10 17:58:35.146057909 +1100
@@ -194,10 +194,10 @@
/etc/udev/devices -d gen_context(system_u:object_r:device_t,s0)
# used by init scripts to initally populate udev /dev
-/lib/udev/devices(/.*)? gen_context(system_u:object_r:device_t,s0)
-/lib/udev/devices/lp.* -c gen_context(system_u:object_r:printer_device_t,s0)
-/lib/udev/devices/null -c gen_context(system_u:object_r:null_device_t,s0)
-/lib/udev/devices/zero -c gen_context(system_u:object_r:zero_device_t,s0)
+/usr/lib/udev/devices(/.*)? gen_context(system_u:object_r:device_t,s0)
+/usr/lib/udev/devices/lp.* -c gen_context(system_u:object_r:printer_device_t,s0)
+/usr/lib/udev/devices/null -c gen_context(system_u:object_r:null_device_t,s0)
+/usr/lib/udev/devices/zero -c gen_context(system_u:object_r:zero_device_t,s0)
/usr/lib/udev/devices(/.*)? gen_context(system_u:object_r:device_t,s0)
/usr/lib/udev/devices/lp.* -c gen_context(system_u:object_r:printer_device_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/kernel/files.fc ./policy/modules/kernel/files.fc
--- /home/rjc/src/pol-git/policy/modules/kernel/files.fc 2016-12-31 21:09:24.673504756 +1100
+++ ./policy/modules/kernel/files.fc 2017-01-10 18:03:25.659199980 +1100
@@ -106,12 +106,12 @@
#
# /lib(64)?
#
-/lib/modules(/.*)? gen_context(system_u:object_r:modules_object_t,s0)
+/usr/lib/modules(/.*)? gen_context(system_u:object_r:modules_object_t,s0)
ifdef(`distro_debian',`
# on Debian /lib/init/rw is a tmpfs used like /var/run but
# before /var is mounted
-/lib/init/rw(/.*)? gen_context(system_u:object_r:var_run_t,s0-mls_systemhigh)
+/usr/lib/init/rw(/.*)? gen_context(system_u:object_r:var_run_t,s0-mls_systemhigh)
')
#
diff -ru /home/rjc/src/pol-git/policy/modules/kernel/filesystem.fc ./policy/modules/kernel/filesystem.fc
--- /home/rjc/src/pol-git/policy/modules/kernel/filesystem.fc 2016-12-31 21:09:24.673504756 +1100
+++ ./policy/modules/kernel/filesystem.fc 2017-01-10 17:58:35.150058035 +1100
@@ -6,10 +6,10 @@
/dev/shm -d gen_context(system_u:object_r:tmpfs_t,s0)
/dev/shm/.* <<none>>
-/lib/udev/devices/hugepages -d gen_context(system_u:object_r:hugetlbfs_t,s0)
-/lib/udev/devices/hugepages/.* <<none>>
-/lib/udev/devices/shm -d gen_context(system_u:object_r:tmpfs_t,s0)
-/lib/udev/devices/shm/.* <<none>>
+/usr/lib/udev/devices/hugepages -d gen_context(system_u:object_r:hugetlbfs_t,s0)
+/usr/lib/udev/devices/hugepages/.* <<none>>
+/usr/lib/udev/devices/shm -d gen_context(system_u:object_r:tmpfs_t,s0)
+/usr/lib/udev/devices/shm/.* <<none>>
/usr/lib/udev/devices/hugepages -d gen_context(system_u:object_r:hugetlbfs_t,s0)
/usr/lib/udev/devices/hugepages/.* <<none>>
diff -ru /home/rjc/src/pol-git/policy/modules/kernel/storage.fc ./policy/modules/kernel/storage.fc
--- /home/rjc/src/pol-git/policy/modules/kernel/storage.fc 2016-12-31 21:09:24.677504879 +1100
+++ ./policy/modules/kernel/storage.fc 2017-01-10 18:04:16.428794725 +1100
@@ -83,8 +83,5 @@
/dev/usb/rio500 -c gen_context(system_u:object_r:removable_device_t,s0)
-/lib/udev/devices/loop.* -b gen_context(system_u:object_r:fixed_disk_device_t,mls_systemhigh)
-/lib/udev/devices/fuse -c gen_context(system_u:object_r:fuse_device_t,s0)
-
/usr/lib/udev/devices/loop.* -b gen_context(system_u:object_r:fixed_disk_device_t,mls_systemhigh)
/usr/lib/udev/devices/fuse -c gen_context(system_u:object_r:fuse_device_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/kernel/terminal.fc ./policy/modules/kernel/terminal.fc
--- /home/rjc/src/pol-git/policy/modules/kernel/terminal.fc 2017-01-10 17:57:39.236295140 +1100
+++ ./policy/modules/kernel/terminal.fc 2017-01-10 17:58:35.762077323 +1100
@@ -41,5 +41,5 @@
/dev/tts/[0-9]+ -c gen_context(system_u:object_r:tty_device_t,s0)
# used by init scripts to initally populate udev /dev
-/lib/udev/devices/console -c gen_context(system_u:object_r:console_device_t,s0)
+/usr/lib/udev/devices/console -c gen_context(system_u:object_r:console_device_t,s0)
')
diff -ru /home/rjc/src/pol-git/policy/modules/system/authlogin.fc ./policy/modules/system/authlogin.fc
--- /home/rjc/src/pol-git/policy/modules/system/authlogin.fc 2016-12-31 21:09:24.677504879 +1100
+++ ./policy/modules/system/authlogin.fc 2017-01-10 18:07:41.183333055 +1100
@@ -1,5 +1,5 @@
-/bin/login -- gen_context(system_u:object_r:login_exec_t,s0)
+/usr/bin/login -- gen_context(system_u:object_r:login_exec_t,s0)
/etc/\.pwd\.lock -- gen_context(system_u:object_r:shadow_t,s0)
/etc/group\.lock -- gen_context(system_u:object_r:shadow_t,s0)
@@ -7,13 +7,10 @@
/etc/passwd\.lock -- gen_context(system_u:object_r:shadow_t,s0)
/etc/shadow.* -- gen_context(system_u:object_r:shadow_t,s0)
-/sbin/pam_console_apply -- gen_context(system_u:object_r:pam_console_exec_t,s0)
-/sbin/pam_timestamp_check -- gen_context(system_u:object_r:pam_exec_t,s0)
-/sbin/unix_chkpwd -- gen_context(system_u:object_r:chkpwd_exec_t,s0)
-/sbin/unix_update -- gen_context(system_u:object_r:updpwd_exec_t,s0)
-/sbin/unix_verify -- gen_context(system_u:object_r:chkpwd_exec_t,s0)
+/usr/sbin/pam_console_apply -- gen_context(system_u:object_r:pam_console_exec_t,s0)
+/usr/sbin/pam_timestamp_check -- gen_context(system_u:object_r:pam_exec_t,s0)
ifdef(`distro_suse', `
-/sbin/unix2_chkpwd -- gen_context(system_u:object_r:chkpwd_exec_t,s0)
+/usr/sbin/unix2_chkpwd -- gen_context(system_u:object_r:chkpwd_exec_t,s0)
')
/usr/bin/login -- gen_context(system_u:object_r:login_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/system/clock.fc ./policy/modules/system/clock.fc
--- /home/rjc/src/pol-git/policy/modules/system/clock.fc 2016-12-31 21:09:24.681505002 +1100
+++ ./policy/modules/system/clock.fc 2017-01-10 17:58:35.134057530 +1100
@@ -1,6 +1,6 @@
/etc/adjtime -- gen_context(system_u:object_r:adjtime_t,s0)
-/sbin/hwclock -- gen_context(system_u:object_r:hwclock_exec_t,s0)
+/usr/sbin/hwclock -- gen_context(system_u:object_r:hwclock_exec_t,s0)
/usr/sbin/hwclock -- gen_context(system_u:object_r:hwclock_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/system/fstools.fc ./policy/modules/system/fstools.fc
--- /home/rjc/src/pol-git/policy/modules/system/fstools.fc 2016-12-31 21:09:24.681505002 +1100
+++ ./policy/modules/system/fstools.fc 2017-01-10 17:58:35.134057530 +1100
@@ -1,47 +1,42 @@
-/sbin/badblocks -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/blkid -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/blockdev -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/cfdisk -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/dosfsck -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/dump -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/dumpe2fs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/e2fsck -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/e4fsck -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/e2label -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/fdisk -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/findfs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/fsck.* -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/hdparm -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/install-mbr -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/jfs_.* -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/losetup.* -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/lsraid -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/make_reiser4 -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/mkdosfs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/mke2fs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/mke4fs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/mkfs.* -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/mkraid -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/mkreiserfs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/mkswap -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/parted -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/partprobe -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/partx -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/raidautorun -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/raidstart -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/reiserfs(ck|tune) -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/resize.*fs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/scsi_info -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/sfdisk -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/swapoff -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/swapon.* -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/tune2fs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/zdb -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/zhack -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/zinject -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/zpios -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/zstreamdump -- gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/ztest -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/badblocks -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/blkid -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/blockdev -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/cfdisk -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/dosfsck -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/dump -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/dumpe2fs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/e2fsck -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/e4fsck -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/e2label -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/fdisk -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/findfs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/hdparm -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/install-mbr -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/jfs_.* -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/losetup.* -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/lsraid -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/make_reiser4 -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/mkdosfs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/mke2fs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/mke4fs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/mkraid -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/mkreiserfs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/mkswap -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/raidautorun -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/raidstart -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/reiserfs(ck|tune) -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/resize.*fs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/scsi_info -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/sfdisk -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/swapoff -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/swapon.* -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/tune2fs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/zdb -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/zhack -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/zinject -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/zpios -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/zstreamdump -- gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/ztest -- gen_context(system_u:object_r:fsadm_exec_t,s0)
/usr/bin/partition_uuid -- gen_context(system_u:object_r:fsadm_exec_t,s0)
/usr/bin/raw -- gen_context(system_u:object_r:fsadm_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/system/getty.fc ./policy/modules/system/getty.fc
--- /home/rjc/src/pol-git/policy/modules/system/getty.fc 2016-12-31 21:09:24.681505002 +1100
+++ ./policy/modules/system/getty.fc 2017-01-10 17:58:35.134057530 +1100
@@ -1,7 +1,7 @@
/etc/mgetty(/.*)? gen_context(system_u:object_r:getty_etc_t,s0)
-/sbin/.*getty -- gen_context(system_u:object_r:getty_exec_t,s0)
+/usr/sbin/.*getty -- gen_context(system_u:object_r:getty_exec_t,s0)
/usr/sbin/.*getty -- gen_context(system_u:object_r:getty_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/system/hostname.fc ./policy/modules/system/hostname.fc
--- /home/rjc/src/pol-git/policy/modules/system/hostname.fc 2016-12-31 21:09:24.681505002 +1100
+++ ./policy/modules/system/hostname.fc 2017-01-10 17:58:35.134057530 +1100
@@ -1,4 +1,4 @@
-/bin/hostname -- gen_context(system_u:object_r:hostname_exec_t,s0)
+/usr/bin/hostname -- gen_context(system_u:object_r:hostname_exec_t,s0)
/usr/bin/hostname -- gen_context(system_u:object_r:hostname_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/system/hotplug.fc ./policy/modules/system/hotplug.fc
--- /home/rjc/src/pol-git/policy/modules/system/hotplug.fc 2016-12-31 21:09:24.681505002 +1100
+++ ./policy/modules/system/hotplug.fc 2017-01-10 17:58:35.138057656 +1100
@@ -7,8 +7,8 @@
/run/usb(/.*)? gen_context(system_u:object_r:hotplug_var_run_t,s0)
/run/hotplug(/.*)? gen_context(system_u:object_r:hotplug_var_run_t,s0)
-/sbin/hotplug -- gen_context(system_u:object_r:hotplug_exec_t,s0)
-/sbin/netplugd -- gen_context(system_u:object_r:hotplug_exec_t,s0)
+/usr/sbin/hotplug -- gen_context(system_u:object_r:hotplug_exec_t,s0)
+/usr/sbin/netplugd -- gen_context(system_u:object_r:hotplug_exec_t,s0)
/usr/sbin/hotplug -- gen_context(system_u:object_r:hotplug_exec_t,s0)
/usr/sbin/netplugd -- gen_context(system_u:object_r:hotplug_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/system/init.fc ./policy/modules/system/init.fc
--- /home/rjc/src/pol-git/policy/modules/system/init.fc 2016-12-31 21:09:24.681505002 +1100
+++ ./policy/modules/system/init.fc 2017-01-10 17:58:35.138057656 +1100
@@ -22,21 +22,17 @@
#
# /lib
#
-/lib/systemd/systemd -- gen_context(system_u:object_r:init_exec_t,s0)
ifdef(`distro_gentoo', `
-/lib/rc/init\.d(/.*)? gen_context(system_u:object_r:initrc_state_t,s0)
+/usr/lib/rc/init\.d(/.*)? gen_context(system_u:object_r:initrc_state_t,s0)
')
#
# /sbin
#
-/sbin/init(ng)? -- gen_context(system_u:object_r:init_exec_t,s0)
-# because nowadays, /sbin/init is often a symlink to /sbin/upstart
-/sbin/upstart -- gen_context(system_u:object_r:init_exec_t,s0)
ifdef(`distro_gentoo', `
-/sbin/rc -- gen_context(system_u:object_r:rc_exec_t,s0)
+/usr/sbin/rc -- gen_context(system_u:object_r:rc_exec_t,s0)
')
#
diff -ru /home/rjc/src/pol-git/policy/modules/system/ipsec.fc ./policy/modules/system/ipsec.fc
--- /home/rjc/src/pol-git/policy/modules/system/ipsec.fc 2016-12-27 23:12:20.925414371 +1100
+++ ./policy/modules/system/ipsec.fc 2017-01-10 17:58:35.138057656 +1100
@@ -18,8 +18,6 @@
/etc/swanctl -d gen_context(system_u:object_r:ipsec_conf_file_t,s0)
/etc/swanctl/swanctl.conf -- gen_context(system_u:object_r:ipsec_conf_file_t,s0)
-/sbin/setkey -- gen_context(system_u:object_r:setkey_exec_t,s0)
-
/usr/lib/ipsec/_plutoload -- gen_context(system_u:object_r:ipsec_mgmt_exec_t,s0)
/usr/lib/ipsec/_plutorun -- gen_context(system_u:object_r:ipsec_mgmt_exec_t,s0)
/usr/lib/ipsec/eroute -- gen_context(system_u:object_r:ipsec_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/system/iptables.fc ./policy/modules/system/iptables.fc
--- /home/rjc/src/pol-git/policy/modules/system/iptables.fc 2016-12-31 21:09:24.681505002 +1100
+++ ./policy/modules/system/iptables.fc 2017-01-10 17:58:35.138057656 +1100
@@ -4,18 +4,16 @@
/etc/sysconfig/ip6?tables.* -- gen_context(system_u:object_r:iptables_conf_t,s0)
/etc/sysconfig/system-config-firewall.* -- gen_context(system_u:object_r:iptables_conf_t,s0)
-/sbin/ebtables -- gen_context(system_u:object_r:iptables_exec_t,s0)
-/sbin/ebtables-restore -- gen_context(system_u:object_r:iptables_exec_t,s0)
-/sbin/ipchains.* -- gen_context(system_u:object_r:iptables_exec_t,s0)
-/sbin/ipset -- gen_context(system_u:object_r:iptables_exec_t,s0)
-/sbin/ip6?tables -- gen_context(system_u:object_r:iptables_exec_t,s0)
-/sbin/ip6?tables-restore -- gen_context(system_u:object_r:iptables_exec_t,s0)
-/sbin/ip6?tables-multi -- gen_context(system_u:object_r:iptables_exec_t,s0)
-/sbin/ipvsadm -- gen_context(system_u:object_r:iptables_exec_t,s0)
-/sbin/ipvsadm-restore -- gen_context(system_u:object_r:iptables_exec_t,s0)
-/sbin/ipvsadm-save -- gen_context(system_u:object_r:iptables_exec_t,s0)
-/sbin/nft -- gen_context(system_u:object_r:iptables_exec_t,s0)
-/sbin/xtables-multi -- gen_context(system_u:object_r:iptables_exec_t,s0)
+/usr/sbin/ebtables -- gen_context(system_u:object_r:iptables_exec_t,s0)
+/usr/sbin/ebtables-restore -- gen_context(system_u:object_r:iptables_exec_t,s0)
+/usr/sbin/ip6?tables -- gen_context(system_u:object_r:iptables_exec_t,s0)
+/usr/sbin/ip6?tables-restore -- gen_context(system_u:object_r:iptables_exec_t,s0)
+/usr/sbin/ip6?tables-multi -- gen_context(system_u:object_r:iptables_exec_t,s0)
+/usr/sbin/ipvsadm -- gen_context(system_u:object_r:iptables_exec_t,s0)
+/usr/sbin/ipvsadm-restore -- gen_context(system_u:object_r:iptables_exec_t,s0)
+/usr/sbin/ipvsadm-save -- gen_context(system_u:object_r:iptables_exec_t,s0)
+/usr/sbin/nft -- gen_context(system_u:object_r:iptables_exec_t,s0)
+/usr/sbin/xtables-multi -- gen_context(system_u:object_r:iptables_exec_t,s0)
/usr/lib/systemd/system/[^/]*arptables.* -- gen_context(system_u:object_r:iptables_unit_t,s0)
/usr/lib/systemd/system/[^/]*ebtables.* -- gen_context(system_u:object_r:iptables_unit_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/system/libraries.fc ./policy/modules/system/libraries.fc
--- /home/rjc/src/pol-git/policy/modules/system/libraries.fc 2016-12-31 21:09:24.681505002 +1100
+++ ./policy/modules/system/libraries.fc 2017-01-10 17:58:35.138057656 +1100
@@ -35,12 +35,13 @@
#
# /lib(64)?
#
-/lib -d gen_context(system_u:object_r:lib_t,s0)
-/lib -l gen_context(system_u:object_r:lib_t,s0)
-/lib/.* gen_context(system_u:object_r:lib_t,s0)
-/lib/ld-[^/]*\.so(\.[^/]*)* -- gen_context(system_u:object_r:ld_so_t,s0)
+/usr/lib gen_context(system_u:object_r:lib_t,s0)
+/usr/lib64 gen_context(system_u:object_r:lib_t,s0)
+/usr/lib/.* gen_context(system_u:object_r:lib_t,s0)
+/usr/lib64/.* gen_context(system_u:object_r:lib_t,s0)
+/usr/lib/ld-[^/]*\.so(\.[^/]*)* -- gen_context(system_u:object_r:ld_so_t,s0)
-/lib/security/pam_poldi\.so -- gen_context(system_u:object_r:textrel_shlib_t,s0)
+/usr/lib/security/pam_poldi\.so -- gen_context(system_u:object_r:textrel_shlib_t,s0)
#
# /opt
@@ -93,7 +94,7 @@
#
# /sbin
#
-/sbin/ldconfig -- gen_context(system_u:object_r:ldconfig_exec_t,s0)
+/usr/sbin/ldconfig -- gen_context(system_u:object_r:ldconfig_exec_t,s0)
#
# /usr
@@ -108,7 +109,7 @@
/usr/(.*/)?lib(/.*)? gen_context(system_u:object_r:lib_t,s0)
/usr/(.*/)?lib64(/.*)? gen_context(system_u:object_r:lib_t,s0)
-/usr/(.*/)?lib(64)?(/.*)?/ld-[^/]*\.so(\.[^/]*)* gen_context(system_u:object_r:ld_so_t,s0)
+/usr/lib/(.*/)?ld-[^/]*\.so(\.[^/]*)? -- gen_context(system_u:object_r:ld_so_t,s0)
/usr/(.*/)?nvidia/.+\.so(\..*)? -- gen_context(system_u:object_r:textrel_shlib_t,s0)
@@ -166,10 +167,6 @@
/usr/lib/xorg/modules/extensions/libglx\.so(\.[^/]*)* -- gen_context(system_u:object_r:textrel_shlib_t,s0)
/usr/x11R6/lib/modules/extensions/libglx\.so(\.[^/]*)* -- gen_context(system_u:object_r:textrel_shlib_t,s0)
-ifdef(`distro_debian',`
-/usr/lib -l gen_context(system_u:object_r:lib_t,s0)
-')
-
ifdef(`distro_gentoo',`
/usr/lib -l gen_context(system_u:object_r:lib_t,s0)
')
diff -ru /home/rjc/src/pol-git/policy/modules/system/locallogin.fc ./policy/modules/system/locallogin.fc
--- /home/rjc/src/pol-git/policy/modules/system/locallogin.fc 2016-12-31 21:09:24.681505002 +1100
+++ ./policy/modules/system/locallogin.fc 2017-01-10 17:58:35.138057656 +1100
@@ -1,6 +1,6 @@
-/sbin/sulogin -- gen_context(system_u:object_r:sulogin_exec_t,s0)
-/sbin/sushell -- gen_context(system_u:object_r:sulogin_exec_t,s0)
+/usr/sbin/sulogin -- gen_context(system_u:object_r:sulogin_exec_t,s0)
+/usr/sbin/sushell -- gen_context(system_u:object_r:sulogin_exec_t,s0)
/usr/sbin/sulogin -- gen_context(system_u:object_r:sulogin_exec_t,s0)
/usr/sbin/sushell -- gen_context(system_u:object_r:sulogin_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/system/logging.fc ./policy/modules/system/logging.fc
--- /home/rjc/src/pol-git/policy/modules/system/logging.fc 2016-12-31 21:09:24.681505002 +1100
+++ ./policy/modules/system/logging.fc 2017-01-10 17:58:35.138057656 +1100
@@ -6,17 +6,6 @@
/etc/rc\.d/init\.d/auditd -- gen_context(system_u:object_r:auditd_initrc_exec_t,s0)
/etc/rc\.d/init\.d/rsyslog -- gen_context(system_u:object_r:syslogd_initrc_exec_t,s0)
-/sbin/audispd -- gen_context(system_u:object_r:audisp_exec_t,s0)
-/sbin/audisp-remote -- gen_context(system_u:object_r:audisp_remote_exec_t,s0)
-/sbin/auditctl -- gen_context(system_u:object_r:auditctl_exec_t,s0)
-/sbin/auditd -- gen_context(system_u:object_r:auditd_exec_t,s0)
-/sbin/klogd -- gen_context(system_u:object_r:klogd_exec_t,s0)
-/sbin/minilogd -- gen_context(system_u:object_r:syslogd_exec_t,s0)
-/sbin/rklogd -- gen_context(system_u:object_r:klogd_exec_t,s0)
-/sbin/rsyslogd -- gen_context(system_u:object_r:syslogd_exec_t,s0)
-/sbin/syslogd -- gen_context(system_u:object_r:syslogd_exec_t,s0)
-/sbin/syslog-ng -- gen_context(system_u:object_r:syslogd_exec_t,s0)
-
/usr/lib/systemd/system/auditd.* -- gen_context(system_u:object_r:auditd_unit_t,s0)
/usr/lib/systemd/system/[^/]*systemd-journal.* -- gen_context(system_u:object_r:syslogd_unit_t,s0)
/usr/lib/systemd/systemd-journald -- gen_context(system_u:object_r:syslogd_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/system/lvm.fc ./policy/modules/system/lvm.fc
--- /home/rjc/src/pol-git/policy/modules/system/lvm.fc 2016-12-31 21:09:24.685505126 +1100
+++ ./policy/modules/system/lvm.fc 2017-01-10 17:58:35.142057783 +1100
@@ -7,7 +7,7 @@
# /bin
#
ifdef(`distro_gentoo',`
-/bin/cryptsetup -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/bin/cryptsetup -- gen_context(system_u:object_r:lvm_exec_t,s0)
')
#
@@ -26,65 +26,64 @@
#
# /lib
#
-/lib/lvm-10/.* -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/lib/lvm-200/.* -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/lib/udev/udisks-lvm-pv-export -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/lib/lvm-10/.* -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/lib/lvm-200/.* -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/lib/udev/udisks-lvm-pv-export -- gen_context(system_u:object_r:lvm_exec_t,s0)
#
# /sbin
#
-/sbin/cryptsetup -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/dmraid -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/dmsetup -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/dmsetup\.static -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/e2fsadm -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvchange -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvcreate -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvdisplay -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvextend -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvm -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvm\.static -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvmchange -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvmdiskscan -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvmiopversion -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvmsadc -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvmsar -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvreduce -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvremove -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvrename -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvresize -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvs -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvscan -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/multipathd -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/multipath\.static -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/pvchange -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/pvcreate -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/pvdata -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/pvdisplay -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/pvmove -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/pvremove -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/pvs -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/pvscan -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgcfgbackup -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgcfgrestore -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgchange -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgchange\.static -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgck -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgcreate -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgdisplay -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgexport -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgextend -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgimport -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgmerge -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgmknodes -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgreduce -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgremove -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgrename -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgs -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgscan -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgscan\.static -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgsplit -- gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgwrapper -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/cryptsetup -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/dmraid -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/dmsetup -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/dmsetup\.static -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/e2fsadm -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvchange -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvcreate -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvdisplay -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvextend -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvm\.static -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvmchange -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvmdiskscan -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvmiopversion -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvmsadc -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvmsar -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvreduce -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvremove -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvrename -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvresize -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvs -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvscan -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/multipathd -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/multipath\.static -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/pvchange -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/pvcreate -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/pvdata -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/pvdisplay -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/pvmove -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/pvremove -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/pvs -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/pvscan -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgcfgbackup -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgcfgrestore -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgchange -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgchange\.static -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgck -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgcreate -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgdisplay -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgexport -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgextend -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgimport -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgmerge -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgmknodes -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgreduce -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgremove -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgrename -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgs -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgscan -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgscan\.static -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgsplit -- gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgwrapper -- gen_context(system_u:object_r:lvm_exec_t,s0)
#
# /usr
diff -ru /home/rjc/src/pol-git/policy/modules/system/modutils.fc ./policy/modules/system/modutils.fc
--- /home/rjc/src/pol-git/policy/modules/system/modutils.fc 2016-12-31 21:09:24.685505126 +1100
+++ ./policy/modules/system/modutils.fc 2017-01-10 18:09:53.291691208 +1100
@@ -1,5 +1,3 @@
-/bin/kmod -- gen_context(system_u:object_r:kmod_exec_t,s0)
-
/etc/modules\.conf.* -- gen_context(system_u:object_r:modules_conf_t,s0)
/etc/modprobe\.conf.* -- gen_context(system_u:object_r:modules_conf_t,s0)
/etc/modprobe\.d(/.*)? gen_context(system_u:object_r:modules_conf_t,s0)
@@ -10,20 +8,8 @@
/etc/modprobe.devfs.* -- gen_context(system_u:object_r:modules_conf_t,s0)
')
-/lib/modules/[^/]+/modules\..+ -- gen_context(system_u:object_r:modules_dep_t,s0)
-
-/lib/modules/modprobe\.conf -- gen_context(system_u:object_r:modules_conf_t,s0)
-
/run/tmpfiles.d(/.*)? gen_context(system_u:object_r:kmod_var_run_t,s0)
-/sbin/depmod.* -- gen_context(system_u:object_r:kmod_exec_t,s0)
-/sbin/generate-modprobe\.conf -- gen_context(system_u:object_r:kmod_exec_t,s0)
-/sbin/insmod.* -- gen_context(system_u:object_r:kmod_exec_t,s0)
-/sbin/modprobe.* -- gen_context(system_u:object_r:kmod_exec_t,s0)
-/sbin/modules-update -- gen_context(system_u:object_r:kmod_exec_t,s0)
-/sbin/rmmod.* -- gen_context(system_u:object_r:kmod_exec_t,s0)
-/sbin/update-modules -- gen_context(system_u:object_r:kmod_exec_t,s0)
-
/usr/bin/kmod -- gen_context(system_u:object_r:kmod_exec_t,s0)
/usr/lib/modules/[^/]+/modules\..+ -- gen_context(system_u:object_r:modules_dep_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/system/mount.fc ./policy/modules/system/mount.fc
--- /home/rjc/src/pol-git/policy/modules/system/mount.fc 2017-01-10 17:57:39.244295392 +1100
+++ ./policy/modules/system/mount.fc 2017-01-10 18:10:39.753222015 +1100
@@ -1,11 +1,3 @@
-/bin/fusermount -- gen_context(system_u:object_r:mount_exec_t,s0)
-/bin/mount.* -- gen_context(system_u:object_r:mount_exec_t,s0)
-/bin/umount.* -- gen_context(system_u:object_r:mount_exec_t,s0)
-
-/sbin/mount\.zfs -- gen_context(system_u:object_r:mount_exec_t,s0)
-/sbin/zfs -- gen_context(system_u:object_r:mount_exec_t,s0)
-/sbin/zpool -- gen_context(system_u:object_r:mount_exec_t,s0)
-
/usr/bin/fusermount -- gen_context(system_u:object_r:mount_exec_t,s0)
/usr/bin/mount.* -- gen_context(system_u:object_r:mount_exec_t,s0)
/usr/bin/umount.* -- gen_context(system_u:object_r:mount_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/system/netlabel.fc ./policy/modules/system/netlabel.fc
--- /home/rjc/src/pol-git/policy/modules/system/netlabel.fc 2016-12-31 21:09:24.685505126 +1100
+++ ./policy/modules/system/netlabel.fc 2017-01-10 17:58:35.142057783 +1100
@@ -1,3 +1,3 @@
-/sbin/netlabelctl -- gen_context(system_u:object_r:netlabel_mgmt_exec_t,s0)
+/usr/sbin/netlabelctl -- gen_context(system_u:object_r:netlabel_mgmt_exec_t,s0)
/usr/sbin/netlabelctl -- gen_context(system_u:object_r:netlabel_mgmt_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/system/selinuxutil.fc ./policy/modules/system/selinuxutil.fc
--- /home/rjc/src/pol-git/policy/modules/system/selinuxutil.fc 2016-12-31 21:09:24.685505126 +1100
+++ ./policy/modules/system/selinuxutil.fc 2017-01-10 17:58:35.142057783 +1100
@@ -22,9 +22,7 @@
#
# /sbin
#
-/sbin/load_policy -- gen_context(system_u:object_r:load_policy_exec_t,s0)
-/sbin/restorecon -- gen_context(system_u:object_r:setfiles_exec_t,s0)
-/sbin/setfiles.* -- gen_context(system_u:object_r:setfiles_exec_t,s0)
+/usr/sbin/restorecon -- gen_context(system_u:object_r:setfiles_exec_t,s0)
#
# /usr
diff -ru /home/rjc/src/pol-git/policy/modules/system/setrans.fc ./policy/modules/system/setrans.fc
--- /home/rjc/src/pol-git/policy/modules/system/setrans.fc 2016-12-31 21:09:24.685505126 +1100
+++ ./policy/modules/system/setrans.fc 2017-01-10 17:58:35.142057783 +1100
@@ -2,7 +2,7 @@
/run/setrans(/.*)? gen_context(system_u:object_r:setrans_var_run_t,mls_systemhigh)
-/sbin/mcstransd -- gen_context(system_u:object_r:setrans_exec_t,s0)
+/usr/sbin/mcstransd -- gen_context(system_u:object_r:setrans_exec_t,s0)
/usr/lib/systemd/system/mcstrans.*\.service -- gen_context(system_u:object_r:setrans_unit_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/system/sysnetwork.fc ./policy/modules/system/sysnetwork.fc
--- /home/rjc/src/pol-git/policy/modules/system/sysnetwork.fc 2016-12-31 21:09:24.685505126 +1100
+++ ./policy/modules/system/sysnetwork.fc 2017-01-10 18:16:40.301068723 +1100
@@ -1,11 +1,5 @@
#
-# /bin
-#
-/bin/ifconfig -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
-/bin/ip -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
-
-#
# /dev
#
ifdef(`distro_debian',`
@@ -37,24 +31,6 @@
')
#
-# /sbin
-#
-/sbin/dhclient.* -- gen_context(system_u:object_r:dhcpc_exec_t,s0)
-/sbin/dhcdbd -- gen_context(system_u:object_r:dhcpc_exec_t,s0)
-/sbin/dhcpcd -- gen_context(system_u:object_r:dhcpc_exec_t,s0)
-/sbin/ethtool -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
-/sbin/ifconfig -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
-/sbin/ip -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
-/sbin/ipx_configure -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
-/sbin/ipx_interface -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
-/sbin/ipx_internal_net -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
-/sbin/iw -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
-/sbin/iwconfig -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
-/sbin/mii-tool -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
-/sbin/pump -- gen_context(system_u:object_r:dhcpc_exec_t,s0)
-/sbin/tc -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
-
-#
# /usr
#
/usr/bin/ifconfig -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/system/systemd.fc ./policy/modules/system/systemd.fc
--- /home/rjc/src/pol-git/policy/modules/system/systemd.fc 2016-12-31 21:09:24.685505126 +1100
+++ ./policy/modules/system/systemd.fc 2017-01-10 18:18:57.213552868 +1100
@@ -1,13 +1,3 @@
-/bin/systemd-analyze -- gen_context(system_u:object_r:systemd_analyze_exec_t,s0)
-/bin/systemd-cgtop -- gen_context(system_u:object_r:systemd_cgtop_exec_t,s0)
-/bin/systemd-coredump -- gen_context(system_u:object_r:systemd_coredump_exec_t,s0)
-/bin/systemd-detect-virt -- gen_context(system_u:object_r:systemd_detect_virt_exec_t,s0)
-/bin/systemd-nspawn -- gen_context(system_u:object_r:systemd_nspawn_exec_t,s0)
-/bin/systemd-run -- gen_context(system_u:object_r:systemd_run_exec_t,s0)
-/bin/systemd-stdio-bridge -- gen_context(system_u:object_r:systemd_stdio_bridge_exec_t,s0)
-/bin/systemd-tmpfiles -- gen_context(system_u:object_r:systemd_tmpfiles_exec_t,s0)
-/bin/systemd-tty-ask-password-agent -- gen_context(system_u:object_r:systemd_passwd_agent_exec_t,s0)
-
/usr/bin/systemd-analyze -- gen_context(system_u:object_r:systemd_analyze_exec_t,s0)
/usr/bin/systemd-cgtop -- gen_context(system_u:object_r:systemd_cgtop_exec_t,s0)
/usr/bin/systemd-coredump -- gen_context(system_u:object_r:systemd_coredump_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/system/udev.fc ./policy/modules/system/udev.fc
--- /home/rjc/src/pol-git/policy/modules/system/udev.fc 2016-12-31 21:09:24.685505126 +1100
+++ ./policy/modules/system/udev.fc 2017-01-10 18:20:03.463719957 +1100
@@ -9,22 +9,22 @@
/etc/udev/rules.d(/.*)? gen_context(system_u:object_r:udev_rules_t,s0)
/etc/udev/scripts/.+ -- gen_context(system_u:object_r:udev_helper_exec_t,s0)
-/lib/udev/udev-acl -- gen_context(system_u:object_r:udev_exec_t,s0)
+/usr/lib/udev/udev-acl -- gen_context(system_u:object_r:udev_exec_t,s0)
ifdef(`distro_debian',`
-/bin/udevadm -- gen_context(system_u:object_r:udev_exec_t,s0)
-/lib/udev/create_static_nodes -- gen_context(system_u:object_r:udev_exec_t,s0)
+/usr/bin/udevadm -- gen_context(system_u:object_r:udev_exec_t,s0)
+/usr/lib/udev/create_static_nodes -- gen_context(system_u:object_r:udev_exec_t,s0)
')
-/sbin/udev -- gen_context(system_u:object_r:udev_exec_t,s0)
-/sbin/udevadm -- gen_context(system_u:object_r:udev_exec_t,s0)
-/sbin/udevd -- gen_context(system_u:object_r:udev_exec_t,s0)
-/sbin/udevsend -- gen_context(system_u:object_r:udev_exec_t,s0)
-/sbin/udevstart -- gen_context(system_u:object_r:udev_exec_t,s0)
-/sbin/wait_for_sysfs -- gen_context(system_u:object_r:udev_exec_t,s0)
+/usr/sbin/udev -- gen_context(system_u:object_r:udev_exec_t,s0)
+/usr/sbin/udevadm -- gen_context(system_u:object_r:udev_exec_t,s0)
+/usr/sbin/udevd -- gen_context(system_u:object_r:udev_exec_t,s0)
+/usr/sbin/udevsend -- gen_context(system_u:object_r:udev_exec_t,s0)
+/usr/sbin/udevstart -- gen_context(system_u:object_r:udev_exec_t,s0)
+/usr/sbin/wait_for_sysfs -- gen_context(system_u:object_r:udev_exec_t,s0)
ifdef(`distro_redhat',`
-/sbin/start_udev -- gen_context(system_u:object_r:udev_exec_t,s0)
+/usr/sbin/start_udev -- gen_context(system_u:object_r:udev_exec_t,s0)
')
/usr/bin/udevinfo -- gen_context(system_u:object_r:udev_exec_t,s0)
@@ -44,6 +44,5 @@
/run/udev(/.*)? gen_context(system_u:object_r:udev_var_run_t,s0)
ifdef(`distro_debian',`
-/lib/systemd/systemd-udevd -- gen_context(system_u:object_r:udev_exec_t,s0)
/run/xen-hotplug -d gen_context(system_u:object_r:udev_var_run_t,s0)
')
On 01/10/17 02:30, Russell Coker via refpolicy wrote:
> The following patch supports making /sbin, /lib*, and /bin symlinks to the
> same named directories under /usr. This change is accomplished in Debian by
> installing the "usrmerge" package and is apparently the default in Fedora.
>
> These changes have been tested in Debian and found to give the same labelling
> as the policy without this patch in almost all cases. The exceptions were
> files where the .fc files in question used one of /bin or /usr/bin that didn't
> match what was done in Debian. The small number of changes to the policy
> caused by this patch FIXED outstanding bugs.
>
> I expect that this won't give any changes to Fedora and it might fix some bugs
> for Gentoo and SUSE.
>
> What it does is remove all duplicates in /bin and /usr/bin etc and uses a
> subs_dist change to make the /usr change not affect policy.
I don't have a problem with merging this patch; however, I will delay it
at least until after the next release (which is in a few weeks or so).
I'd also like to hear from Gentoo people on any impacts this may have.
> diff -ru /home/rjc/src/pol-git/config/file_contexts.subs_dist ./config/file_contexts.subs_dist
> --- /home/rjc/src/pol-git/config/file_contexts.subs_dist 2016-12-27 23:12:20.905413820 +1100
> +++ ./config/file_contexts.subs_dist 2017-01-10 18:17:55.371528374 +1100
> @@ -8,10 +8,14 @@
> # It does not perform substitutions as done by sed(1), for
> # example, but aliasing.
> #
> +/bin /usr/bin
> +/lib /usr/lib
> +/lib32 /usr/lib
> +/lib64 /usr/lib
> +/libx32 /usr/libx32
> +/sbin /usr/sbin
> /etc/init.d /etc/rc.d/init.d
> /lib/systemd /usr/lib/systemd
> -/lib32 /lib
> -/lib64 /lib
> /run/lock /var/lock
> /usr/lib32 /usr/lib
> /usr/lib64 /usr/lib
> diff -ru /home/rjc/src/pol-git/policy/modules/admin/bootloader.fc ./policy/modules/admin/bootloader.fc
> --- /home/rjc/src/pol-git/policy/modules/admin/bootloader.fc 2016-12-31 21:09:24.669504632 +1100
> +++ ./policy/modules/admin/bootloader.fc 2017-01-10 17:58:32.497974441 +1100
> @@ -8,9 +8,8 @@
> /etc/yaboot\.conf.* -- gen_context(system_u:object_r:bootloader_etc_t,s0)
> /etc/grub.d(/.*)? -- gen_context(system_u:object_r:bootloader_etc_t,s0)
>
> -/sbin/grub -- gen_context(system_u:object_r:bootloader_exec_t,s0)
> -/sbin/lilo.* -- gen_context(system_u:object_r:bootloader_exec_t,s0)
> -/sbin/ybin.* -- gen_context(system_u:object_r:bootloader_exec_t,s0)
> +/usr/sbin/lilo.* -- gen_context(system_u:object_r:bootloader_exec_t,s0)
> +/usr/sbin/ybin.* -- gen_context(system_u:object_r:bootloader_exec_t,s0)
>
> /usr/sbin/grub -- gen_context(system_u:object_r:bootloader_exec_t,s0)
> /usr/sbin/grub2?-bios-setup -- gen_context(system_u:object_r:bootloader_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/admin/consoletype.fc ./policy/modules/admin/consoletype.fc
> --- /home/rjc/src/pol-git/policy/modules/admin/consoletype.fc 2016-12-31 21:09:24.669504632 +1100
> +++ ./policy/modules/admin/consoletype.fc 2017-01-10 18:00:33.225777203 +1100
> @@ -1,4 +1 @@
> -
> -/sbin/consoletype -- gen_context(system_u:object_r:consoletype_exec_t,s0)
> -
> /usr/sbin/consoletype -- gen_context(system_u:object_r:consoletype_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/admin/dmesg.fc ./policy/modules/admin/dmesg.fc
> --- /home/rjc/src/pol-git/policy/modules/admin/dmesg.fc 2016-12-31 21:09:24.669504632 +1100
> +++ ./policy/modules/admin/dmesg.fc 2017-01-10 17:59:13.147255406 +1100
> @@ -1,4 +1,2 @@
>
> -/bin/dmesg -- gen_context(system_u:object_r:dmesg_exec_t,s0)
> -
> /usr/bin/dmesg -- gen_context(system_u:object_r:dmesg_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/admin/netutils.fc ./policy/modules/admin/netutils.fc
> --- /home/rjc/src/pol-git/policy/modules/admin/netutils.fc 2016-12-31 21:09:24.669504632 +1100
> +++ ./policy/modules/admin/netutils.fc 2017-01-10 17:58:32.497974441 +1100
> @@ -1,8 +1,5 @@
> -/bin/ping.* -- gen_context(system_u:object_r:ping_exec_t,s0)
> -/bin/tracepath.* -- gen_context(system_u:object_r:traceroute_exec_t,s0)
> -/bin/traceroute.* -- gen_context(system_u:object_r:traceroute_exec_t,s0)
> -
> -/sbin/arping -- gen_context(system_u:object_r:netutils_exec_t,s0)
> +/usr/bin/ping.* -- gen_context(system_u:object_r:ping_exec_t,s0)
> +/usr/bin/tracepath.* -- gen_context(system_u:object_r:traceroute_exec_t,s0)
>
> /usr/bin/arping -- gen_context(system_u:object_r:netutils_exec_t,s0)
> /usr/bin/lft -- gen_context(system_u:object_r:traceroute_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/admin/su.fc ./policy/modules/admin/su.fc
> --- /home/rjc/src/pol-git/policy/modules/admin/su.fc 2016-12-31 21:09:24.669504632 +1100
> +++ ./policy/modules/admin/su.fc 2017-01-10 17:58:32.497974441 +1100
> @@ -1,5 +1,5 @@
>
> -/bin/su -- gen_context(system_u:object_r:su_exec_t,s0)
> +/usr/bin/su -- gen_context(system_u:object_r:su_exec_t,s0)
>
> /usr/(local/)?bin/ksu -- gen_context(system_u:object_r:su_exec_t,s0)
> /usr/bin/kdesu -- gen_context(system_u:object_r:su_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/admin/usermanage.fc ./policy/modules/admin/usermanage.fc
> --- /home/rjc/src/pol-git/policy/modules/admin/usermanage.fc 2016-07-28 20:33:39.959961616 +1000
> +++ ./policy/modules/admin/usermanage.fc 2017-01-10 17:58:34.106025127 +1100
> @@ -1,7 +1,3 @@
> -ifdef(`distro_gentoo',`
> -/bin/passwd -- gen_context(system_u:object_r:passwd_exec_t,s0)
> -')
> -
> ifdef(`distro_debian',`
> /etc/cron\.daily/cracklib-runtime -- gen_context(system_u:object_r:crack_exec_t,s0)
> ')
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/acct.fc ./policy/modules/contrib/acct.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/acct.fc 2016-07-30 08:14:41.065649021 +1000
> +++ ./policy/modules/contrib/acct.fc 2017-01-10 17:58:34.106025127 +1100
> @@ -2,8 +2,6 @@
>
> /etc/rc\.d/init\.d/psacct -- gen_context(system_u:object_r:acct_initrc_exec_t,s0)
>
> -/sbin/accton -- gen_context(system_u:object_r:acct_exec_t,s0)
> -
> /usr/sbin/accton -- gen_context(system_u:object_r:acct_exec_t,s0)
>
> /var/account(/.*)? gen_context(system_u:object_r:acct_data_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/alsa.fc ./policy/modules/contrib/alsa.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/alsa.fc 2016-08-22 21:43:27.015004974 +1000
> +++ ./policy/modules/contrib/alsa.fc 2017-01-10 17:58:34.106025127 +1100
> @@ -4,14 +4,9 @@
> /\.config(/.*)? gen_context(system_u:object_r:alsa_var_lib_t,s0)
> ')
>
> -/bin/alsaunmute -- gen_context(system_u:object_r:alsa_exec_t,s0)
> -
> /etc/alsa(/.*)? gen_context(system_u:object_r:alsa_etc_t,s0)
> /etc/asound\.conf gen_context(system_u:object_r:alsa_etc_t,s0)
>
> -/sbin/alsactl -- gen_context(system_u:object_r:alsa_exec_t,s0)
> -/sbin/salsa -- gen_context(system_u:object_r:alsa_exec_t,s0)
> -
> # Systemd unit files
> /usr/lib/systemd/system/[^/]*alsa-restore.* -- gen_context(system_u:object_r:alsa_unit_t,s0)
> /usr/lib/systemd/system/[^/]*alsa-state.* -- gen_context(system_u:object_r:alsa_unit_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/apcupsd.fc ./policy/modules/contrib/apcupsd.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/apcupsd.fc 2016-12-27 23:12:23.553486634 +1100
> +++ ./policy/modules/contrib/apcupsd.fc 2017-01-10 17:58:34.106025127 +1100
> @@ -1,7 +1,5 @@
> /etc/rc\.d/init\.d/apcupsd -- gen_context(system_u:object_r:apcupsd_initrc_exec_t,s0)
>
> -/sbin/apcupsd -- gen_context(system_u:object_r:apcupsd_exec_t,s0)
> -
> /usr/lib/systemd/system/apcupsd.*\.service -- gen_context(system_u:object_r:apcupsd_unit_t,s0)
>
> /usr/sbin/apcupsd -- gen_context(system_u:object_r:apcupsd_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/cachefilesd.fc ./policy/modules/contrib/cachefilesd.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/cachefilesd.fc 2016-12-27 23:12:23.553486634 +1100
> +++ ./policy/modules/contrib/cachefilesd.fc 2017-01-10 17:58:34.106025127 +1100
> @@ -1,7 +1,5 @@
> /etc/rc\.d/init\.d/cachefilesd -- gen_context(system_u:object_r:cachefilesd_initrc_exec_t,s0)
>
> -/sbin/cachefilesd -- gen_context(system_u:object_r:cachefilesd_exec_t,s0)
> -
> /usr/sbin/cachefilesd -- gen_context(system_u:object_r:cachefilesd_exec_t,s0)
>
> /var/cache/fscache(/.*)? gen_context(system_u:object_r:cachefilesd_cache_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/ccs.fc ./policy/modules/contrib/ccs.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/ccs.fc 2016-12-27 23:12:23.557486744 +1100
> +++ ./policy/modules/contrib/ccs.fc 2017-01-10 17:58:34.106025127 +1100
> @@ -2,8 +2,6 @@
>
> /etc/rc\.d/init\.d/((ccs)|(ccsd)) -- gen_context(system_u:object_r:ccs_initrc_exec_t,s0)
>
> -/sbin/ccsd -- gen_context(system_u:object_r:ccs_exec_t,s0)
> -
> /usr/sbin/ccsd -- gen_context(system_u:object_r:ccs_exec_t,s0)
>
> /var/lib/cluster/((ccs)|(ccsd)).* gen_context(system_u:object_r:ccs_var_lib_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/cgroup.fc ./policy/modules/contrib/cgroup.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/cgroup.fc 2016-12-27 23:12:23.557486744 +1100
> +++ ./policy/modules/contrib/cgroup.fc 2017-01-10 17:58:34.110025253 +1100
> @@ -7,10 +7,6 @@
> /etc/rc\.d/init\.d/cgconfig -- gen_context(system_u:object_r:cgconfig_initrc_exec_t,s0)
> /etc/rc\.d/init\.d/cgred -- gen_context(system_u:object_r:cgred_initrc_exec_t,s0)
>
> -/sbin/cgconfigparser -- gen_context(system_u:object_r:cgconfig_exec_t,s0)
> -/sbin/cgrulesengd -- gen_context(system_u:object_r:cgred_exec_t,s0)
> -/sbin/cgclear -- gen_context(system_u:object_r:cgclear_exec_t,s0)
> -
> /usr/sbin/cgconfigparser -- gen_context(system_u:object_r:cgconfig_exec_t,s0)
> /usr/sbin/cgrulesengd -- gen_context(system_u:object_r:cgred_exec_t,s0)
> /usr/sbin/cgclear -- gen_context(system_u:object_r:cgclear_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/cpucontrol.fc ./policy/modules/contrib/cpucontrol.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/cpucontrol.fc 2016-12-31 21:09:27.281585112 +1100
> +++ ./policy/modules/contrib/cpucontrol.fc 2017-01-10 17:58:34.110025253 +1100
> @@ -1,6 +1,4 @@
> -/lib/firmware/microcode.*\.dat -- gen_context(system_u:object_r:cpucontrol_conf_t,s0)
> -
> -/sbin/microcode_ctl -- gen_context(system_u:object_r:cpucontrol_exec_t,s0)
> +/usr/lib/firmware/microcode.*\.dat -- gen_context(system_u:object_r:cpucontrol_conf_t,s0)
>
> /usr/lib/firmware/microcode.*\.dat -- gen_context(system_u:object_r:cpucontrol_conf_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/cups.fc ./policy/modules/contrib/cups.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/cups.fc 2016-12-31 21:09:27.281585112 +1100
> +++ ./policy/modules/contrib/cups.fc 2017-01-10 17:58:35.146057909 +1100
> @@ -18,8 +18,6 @@
>
> /etc/printcap.* -- gen_context(system_u:object_r:cupsd_rw_etc_t,s0)
>
> -/lib/udev/udev-configure-printer -- gen_context(system_u:object_r:cupsd_config_exec_t,s0)
> -
> /opt/brother/Printers(.*/)?inf(/.*)? gen_context(system_u:object_r:cupsd_rw_etc_t,s0)
> /opt/gutenprint/ppds(/.*)? gen_context(system_u:object_r:cupsd_rw_etc_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/dbus.fc ./policy/modules/contrib/dbus.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/dbus.fc 2016-12-27 23:12:23.561486854 +1100
> +++ ./policy/modules/contrib/dbus.fc 2017-01-10 17:58:34.110025253 +1100
> @@ -2,9 +2,7 @@
>
> /etc/dbus-.*(/.*)? gen_context(system_u:object_r:dbusd_etc_t,s0)
>
> -/bin/dbus-daemon -- gen_context(system_u:object_r:dbusd_exec_t,s0)
> -
> -/lib/dbus-.*/dbus-daemon-launch-helper -- gen_context(system_u:object_r:dbusd_exec_t,s0)
> +/usr/bin/dbus-daemon -- gen_context(system_u:object_r:dbusd_exec_t,s0)
>
> /usr/bin/dbus-daemon(-1)? -- gen_context(system_u:object_r:dbusd_exec_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/devicekit.fc ./policy/modules/contrib/devicekit.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/devicekit.fc 2016-12-27 23:12:23.565486964 +1100
> +++ ./policy/modules/contrib/devicekit.fc 2017-01-10 17:58:35.146057909 +1100
> @@ -1,6 +1,3 @@
> -/lib/udev/udisks-part-id -- gen_context(system_u:object_r:devicekit_disk_exec_t,s0)
> -/lib/udisks2/udisksd -- gen_context(system_u:object_r:devicekit_disk_exec_t,s0)
> -
> /usr/lib/udev/udisks-part-id -- gen_context(system_u:object_r:devicekit_disk_exec_t,s0)
> /usr/lib/udisks2/udisksd -- gen_context(system_u:object_r:devicekit_disk_exec_t,s0)
> /usr/lib/udisks/udisks-daemon -- gen_context(system_u:object_r:devicekit_disk_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/drbd.fc ./policy/modules/contrib/drbd.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/drbd.fc 2016-07-30 08:14:41.097649866 +1000
> +++ ./policy/modules/contrib/drbd.fc 2017-01-10 17:58:34.110025253 +1100
> @@ -1,8 +1,5 @@
> /etc/rc\.d/init\.d/drbd -- gen_context(system_u:object_r:drbd_initrc_exec_t,s0)
>
> -/sbin/drbdadm -- gen_context(system_u:object_r:drbd_exec_t,s0)
> -/sbin/drbdsetup -- gen_context(system_u:object_r:drbd_exec_t,s0)
> -
> /usr/lib/ocf/resource.\d/linbit/drbd -- gen_context(system_u:object_r:drbd_exec_t,s0)
>
> /usr/sbin/drbdadm -- gen_context(system_u:object_r:drbd_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/iscsi.fc ./policy/modules/contrib/iscsi.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/iscsi.fc 2016-12-27 23:12:23.577487294 +1100
> +++ ./policy/modules/contrib/iscsi.fc 2017-01-10 17:58:34.110025253 +1100
> @@ -1,9 +1,5 @@
> /etc/rc\.d/init\.d/((iscsi)|(iscsid)) -- gen_context(system_u:object_r:iscsi_initrc_exec_t,s0)
>
> -/sbin/iscsid -- gen_context(system_u:object_r:iscsid_exec_t,s0)
> -/sbin/brcm_iscsiuio -- gen_context(system_u:object_r:iscsid_exec_t,s0)
> -/sbin/iscsiuio -- gen_context(system_u:object_r:iscsid_exec_t,s0)
> -
> /usr/sbin/iscsid -- gen_context(system_u:object_r:iscsid_exec_t,s0)
> /usr/sbin/brcm_iscsiuio -- gen_context(system_u:object_r:iscsid_exec_t,s0)
> /usr/sbin/iscsiuio -- gen_context(system_u:object_r:iscsid_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/kdump.fc ./policy/modules/contrib/kdump.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/kdump.fc 2016-08-07 19:54:37.787262067 +1000
> +++ ./policy/modules/contrib/kdump.fc 2017-01-10 17:58:34.110025253 +1100
> @@ -2,14 +2,9 @@
>
> /etc/rc\.d/init\.d/kdump -- gen_context(system_u:object_r:kdump_initrc_exec_t,s0)
>
> -/bin/kdumpctl -- gen_context(system_u:object_r:kdumpctl_exec_t,s0)
> -
> /usr/bin/kdumpctl -- gen_context(system_u:object_r:kdumpctl_exec_t,s0)
>
> /usr/lib/systemd/system/kdump.*\.service -- gen_context(system_u:object_r:kdump_unit_t,s0)
>
> -/sbin/kdump -- gen_context(system_u:object_r:kdump_exec_t,s0)
> -/sbin/kexec -- gen_context(system_u:object_r:kdump_exec_t,s0)
> -
> /usr/sbin/kdump -- gen_context(system_u:object_r:kdump_exec_t,s0)
> /usr/sbin/kexec -- gen_context(system_u:object_r:kdump_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/kudzu.fc ./policy/modules/contrib/kudzu.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/kudzu.fc 2016-12-27 23:12:23.577487294 +1100
> +++ ./policy/modules/contrib/kudzu.fc 2017-01-10 17:58:34.110025253 +1100
> @@ -1,8 +1,5 @@
> /etc/rc\.d/init\.d/kudzu -- gen_context(system_u:object_r:kudzu_initrc_exec_t,s0)
>
> -/sbin/kmodule -- gen_context(system_u:object_r:kudzu_exec_t,s0)
> -/sbin/kudzu -- gen_context(system_u:object_r:kudzu_exec_t,s0)
> -
> /usr/sbin/kmodule -- gen_context(system_u:object_r:kudzu_exec_t,s0)
> /usr/sbin/kudzu -- gen_context(system_u:object_r:kudzu_exec_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/loadkeys.fc ./policy/modules/contrib/loadkeys.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/loadkeys.fc 2017-01-10 17:57:41.780375375 +1100
> +++ ./policy/modules/contrib/loadkeys.fc 2017-01-10 18:00:07.648971992 +1100
> @@ -1,5 +1,2 @@
> -/bin/loadkeys -- gen_context(system_u:object_r:loadkeys_exec_t,s0)
> -/bin/unikeys -- gen_context(system_u:object_r:loadkeys_exec_t,s0)
> -
> /usr/bin/loadkeys -- gen_context(system_u:object_r:loadkeys_exec_t,s0)
> /usr/bin/unikeys -- gen_context(system_u:object_r:loadkeys_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/mta.fc ./policy/modules/contrib/mta.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/mta.fc 2016-07-30 08:14:41.121650499 +1000
> +++ ./policy/modules/contrib/mta.fc 2017-01-10 17:58:35.118057026 +1100
> @@ -5,8 +5,6 @@
> HOME_DIR/Maildir(/.*)? gen_context(system_u:object_r:mail_home_rw_t,s0)
> HOME_DIR/\.maildir(/.*)? gen_context(system_u:object_r:mail_home_rw_t,s0)
>
> -/bin/mail(x)? -- gen_context(system_u:object_r:sendmail_exec_t,s0)
> -
> /etc/aliases -- gen_context(system_u:object_r:etc_aliases_t,s0)
> /etc/aliases\.db -- gen_context(system_u:object_r:etc_aliases_t,s0)
> /etc/mail(/.*)? gen_context(system_u:object_r:etc_mail_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/networkmanager.fc ./policy/modules/contrib/networkmanager.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/networkmanager.fc 2016-12-27 23:12:23.597487844 +1100
> +++ ./policy/modules/contrib/networkmanager.fc 2017-01-10 17:58:35.118057026 +1100
> @@ -21,9 +21,6 @@
> /usr/lib/systemd/system/[^/]*NetworkManager.* -- gen_context(system_u:object_r:NetworkManager_unit_t,s0)
> /usr/lib/systemd/system/[^/]*wpa_supplicant.* -- gen_context(system_u:object_r:NetworkManager_unit_t,s0)
>
> -/sbin/wpa_cli -- gen_context(system_u:object_r:wpa_cli_exec_t,s0)
> -/sbin/wpa_supplicant -- gen_context(system_u:object_r:NetworkManager_exec_t,s0)
> -
> /usr/bin/NetworkManager -- gen_context(system_u:object_r:NetworkManager_exec_t,s0)
> /usr/bin/wpa_cli -- gen_context(system_u:object_r:wpa_cli_exec_t,s0)
> /usr/bin/wpa_supplicant -- gen_context(system_u:object_r:NetworkManager_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/nis.fc ./policy/modules/contrib/nis.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/nis.fc 2016-12-27 23:12:23.597487844 +1100
> +++ ./policy/modules/contrib/nis.fc 2017-01-10 17:58:35.118057026 +1100
> @@ -5,8 +5,6 @@
>
> /etc/ypserv\.conf -- gen_context(system_u:object_r:ypserv_conf_t,s0)
>
> -/sbin/ypbind -- gen_context(system_u:object_r:ypbind_exec_t,s0)
> -
> /usr/lib/yp/ypxfr -- gen_context(system_u:object_r:ypxfr_exec_t,s0)
>
> /usr/lib/systemd/system/ypbind.*\.service -- gen_context(system_u:object_r:ypbind_unit_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/nut.fc ./policy/modules/contrib/nut.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/nut.fc 2016-12-27 23:12:23.601487954 +1100
> +++ ./policy/modules/contrib/nut.fc 2017-01-10 17:58:35.122057152 +1100
> @@ -4,10 +4,6 @@
> /etc/rc\.d/init\.d/nut-driver -- gen_context(system_u:object_r:nut_initrc_exec_t,s0)
> /etc/rc\.d/init\.d/nut-server -- gen_context(system_u:object_r:nut_initrc_exec_t,s0)
>
> -/sbin/upsd -- gen_context(system_u:object_r:nut_upsd_exec_t,s0)
> -/sbin/upsdrvctl -- gen_context(system_u:object_r:nut_upsdrvctl_exec_t,s0)
> -/sbin/upsmon -- gen_context(system_u:object_r:nut_upsmon_exec_t,s0)
> -
> /usr/lib/cgi-bin/nut/upsimage\.cgi -- gen_context(system_u:object_r:httpd_nutups_cgi_script_exec_t,s0)
> /usr/lib/cgi-bin/nut/upsset\.cgi -- gen_context(system_u:object_r:httpd_nutups_cgi_script_exec_t,s0)
> /usr/lib/cgi-bin/nut/upsstats\.cgi -- gen_context(system_u:object_r:httpd_nutups_cgi_script_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/oddjob.fc ./policy/modules/contrib/oddjob.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/oddjob.fc 2016-12-27 23:12:23.601487954 +1100
> +++ ./policy/modules/contrib/oddjob.fc 2017-01-10 17:58:35.122057152 +1100
> @@ -1,5 +1,3 @@
> -/sbin/mkhomedir_helper -- gen_context(system_u:object_r:oddjob_mkhomedir_exec_t,s0)
> -
> /usr/lib/oddjob/mkhomedir -- gen_context(system_u:object_r:oddjob_mkhomedir_exec_t,s0)
>
> /usr/libexec/oddjob/mkhomedir -- gen_context(system_u:object_r:oddjob_mkhomedir_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/pcmcia.fc ./policy/modules/contrib/pcmcia.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/pcmcia.fc 2016-12-27 23:12:23.601487954 +1100
> +++ ./policy/modules/contrib/pcmcia.fc 2017-01-10 17:58:35.122057152 +1100
> @@ -1,8 +1,5 @@
> /etc/apm/event\.d/pcmcia -- gen_context(system_u:object_r:cardmgr_exec_t,s0)
>
> -/sbin/cardctl -- gen_context(system_u:object_r:cardctl_exec_t,s0)
> -/sbin/cardmgr -- gen_context(system_u:object_r:cardmgr_exec_t,s0)
> -
> /usr/sbin/cardctl -- gen_context(system_u:object_r:cardctl_exec_t,s0)
> /usr/sbin/cardmgr -- gen_context(system_u:object_r:cardmgr_exec_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/plymouthd.fc ./policy/modules/contrib/plymouthd.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/plymouthd.fc 2016-12-27 23:12:23.605488064 +1100
> +++ ./policy/modules/contrib/plymouthd.fc 2017-01-10 17:58:35.122057152 +1100
> @@ -1,7 +1,3 @@
> -/bin/plymouth -- gen_context(system_u:object_r:plymouth_exec_t,s0)
> -
> -/sbin/plymouthd -- gen_context(system_u:object_r:plymouthd_exec_t,s0)
> -
> /usr/bin/plymouth -- gen_context(system_u:object_r:plymouth_exec_t,s0)
>
> # Systemd unit file
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/portmap.fc ./policy/modules/contrib/portmap.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/portmap.fc 2016-12-27 23:12:23.605488064 +1100
> +++ ./policy/modules/contrib/portmap.fc 2017-01-10 17:58:35.122057152 +1100
> @@ -1,9 +1,5 @@
> /etc/rc\.d/init\.d/portmap -- gen_context(system_u:object_r:portmap_initrc_exec_t,s0)
>
> -/sbin/pmap_dump -- gen_context(system_u:object_r:portmap_helper_exec_t,s0)
> -/sbin/pmap_set -- gen_context(system_u:object_r:portmap_helper_exec_t,s0)
> -/sbin/portmap -- gen_context(system_u:object_r:portmap_exec_t,s0)
> -
> /usr/sbin/pmap_dump -- gen_context(system_u:object_r:portmap_helper_exec_t,s0)
> /usr/sbin/pmap_set -- gen_context(system_u:object_r:portmap_helper_exec_t,s0)
> /usr/sbin/portmap -- gen_context(system_u:object_r:portmap_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/portreserve.fc ./policy/modules/contrib/portreserve.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/portreserve.fc 2016-12-27 23:12:23.605488064 +1100
> +++ ./policy/modules/contrib/portreserve.fc 2017-01-10 17:58:35.122057152 +1100
> @@ -2,8 +2,6 @@
>
> /etc/rc\.d/init\.d/portreserve -- gen_context(system_u:object_r:portreserve_initrc_exec_t,s0)
>
> -/sbin/portreserve -- gen_context(system_u:object_r:portreserve_exec_t,s0)
> -
> /usr/sbin/portreserve -- gen_context(system_u:object_r:portreserve_exec_t,s0)
>
> /run/portreserve(/.*)? gen_context(system_u:object_r:portreserve_var_run_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/ppp.fc ./policy/modules/contrib/ppp.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/ppp.fc 2016-12-27 23:12:23.605488064 +1100
> +++ ./policy/modules/contrib/ppp.fc 2017-01-10 17:58:35.126057278 +1100
> @@ -9,9 +9,6 @@
> /etc/ppp/resolv\.conf -- gen_context(system_u:object_r:pppd_etc_rw_t,s0)
> /etc/ppp/(auth|ip(v6|x)?)-(up|down) -- gen_context(system_u:object_r:pppd_initrc_exec_t,s0)
>
> -/sbin/ppp-watch -- gen_context(system_u:object_r:pppd_exec_t,s0)
> -/sbin/pppoe-server -- gen_context(system_u:object_r:pppd_exec_t,s0)
> -
> /usr/lib/systemd/system/ppp.*\.service -- gen_context(system_u:object_r:pppd_unit_t,s0)
>
> /usr/sbin/ipppd -- gen_context(system_u:object_r:pppd_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/prelude.fc ./policy/modules/contrib/prelude.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/prelude.fc 2016-12-27 23:12:23.605488064 +1100
> +++ ./policy/modules/contrib/prelude.fc 2017-01-10 17:58:35.126057278 +1100
> @@ -4,8 +4,6 @@
> /etc/rc\.d/init\.d/prelude-lml -- gen_context(system_u:object_r:prelude_initrc_exec_t,s0)
> /etc/rc\.d/init\.d/prelude-manager -- gen_context(system_u:object_r:prelude_initrc_exec_t,s0)
>
> -/sbin/audisp-prelude -- gen_context(system_u:object_r:prelude_audisp_exec_t,s0)
> -
> /usr/bin/prelude-correlator -- gen_context(system_u:object_r:prelude_correlator_exec_t,s0)
> /usr/bin/prelude-lml -- gen_context(system_u:object_r:prelude_lml_exec_t,s0)
> /usr/bin/prelude-manager -- gen_context(system_u:object_r:prelude_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/quota.fc ./policy/modules/contrib/quota.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/quota.fc 2016-12-27 23:12:23.609488174 +1100
> +++ ./policy/modules/contrib/quota.fc 2017-01-10 17:58:35.126057278 +1100
> @@ -10,9 +10,6 @@
>
> /etc/rc\.d/init\.d/quota_nld -- gen_context(system_u:object_r:quota_nld_initrc_exec_t,s0)
>
> -/sbin/convertquota -- gen_context(system_u:object_r:quota_exec_t,s0)
> -/sbin/quota(check|on) -- gen_context(system_u:object_r:quota_exec_t,s0)
> -
> /usr/sbin/convertquota -- gen_context(system_u:object_r:quota_exec_t,s0)
> /usr/sbin/quota(check|on) -- gen_context(system_u:object_r:quota_exec_t,s0)
> /usr/sbin/quota_nld -- gen_context(system_u:object_r:quota_nld_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/raid.fc ./policy/modules/contrib/raid.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/raid.fc 2016-12-27 23:12:23.609488174 +1100
> +++ ./policy/modules/contrib/raid.fc 2017-01-10 17:58:35.126057278 +1100
> @@ -3,14 +3,6 @@
>
> /etc/rc\.d/init\.d/mdmonitor -- gen_context(system_u:object_r:mdadm_initrc_exec_t,s0)
>
> -/sbin/iprdump -- gen_context(system_u:object_r:mdadm_exec_t,s0)
> -/sbin/iprinit -- gen_context(system_u:object_r:mdadm_exec_t,s0)
> -/sbin/iprupdate -- gen_context(system_u:object_r:mdadm_exec_t,s0)
> -/sbin/mdadm -- gen_context(system_u:object_r:mdadm_exec_t,s0)
> -/sbin/mdmon -- gen_context(system_u:object_r:mdadm_exec_t,s0)
> -/sbin/mdmpd -- gen_context(system_u:object_r:mdadm_exec_t,s0)
> -/sbin/raid-check -- gen_context(system_u:object_r:mdadm_exec_t,s0)
> -
> # Systemd unit files
> /usr/lib/systemd/system/[^/]*mdadm-.* -- gen_context(system_u:object_r:mdadm_unit_t,s0)
> /usr/lib/systemd/system/[^/]*mdmon.* -- gen_context(system_u:object_r:mdadm_unit_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/rdisc.fc ./policy/modules/contrib/rdisc.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/rdisc.fc 2016-07-30 08:14:41.141651028 +1000
> +++ ./policy/modules/contrib/rdisc.fc 2017-01-10 17:58:35.126057278 +1100
> @@ -1,3 +1 @@
> -/sbin/rdisc -- gen_context(system_u:object_r:rdisc_exec_t,s0)
> -
> /usr/sbin/rdisc -- gen_context(system_u:object_r:rdisc_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/readahead.fc ./policy/modules/contrib/readahead.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/readahead.fc 2016-12-27 23:12:23.609488174 +1100
> +++ ./policy/modules/contrib/readahead.fc 2017-01-10 17:58:35.126057278 +1100
> @@ -1,5 +1,3 @@
> -/sbin/readahead.* -- gen_context(system_u:object_r:readahead_exec_t,s0)
> -
> /usr/sbin/readahead.* -- gen_context(system_u:object_r:readahead_exec_t,s0)
>
> /var/lib/readahead(/.*)? gen_context(system_u:object_r:readahead_var_lib_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/resmgr.fc ./policy/modules/contrib/resmgr.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/resmgr.fc 2016-12-27 23:12:23.609488174 +1100
> +++ ./policy/modules/contrib/resmgr.fc 2017-01-10 17:58:35.126057278 +1100
> @@ -2,8 +2,6 @@
>
> /etc/rc\.d/init\.d/resmgr -- gen_context(system_u:object_r:resmgrd_initrc_exec_t,s0)
>
> -/sbin/resmgrd -- gen_context(system_u:object_r:resmgrd_exec_t,s0)
> -
> /usr/sbin/resmgrd -- gen_context(system_u:object_r:resmgrd_exec_t,s0)
>
> /run/\.resmgr_socket -s gen_context(system_u:object_r:resmgrd_var_run_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/rpcbind.fc ./policy/modules/contrib/rpcbind.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/rpcbind.fc 2016-12-27 23:12:23.613488284 +1100
> +++ ./policy/modules/contrib/rpcbind.fc 2017-01-10 17:58:35.130057404 +1100
> @@ -1,7 +1,5 @@
> /etc/rc\.d/init\.d/rpcbind -- gen_context(system_u:object_r:rpcbind_initrc_exec_t,s0)
>
> -/sbin/rpcbind -- gen_context(system_u:object_r:rpcbind_exec_t,s0)
> -
> /usr/sbin/rpcbind -- gen_context(system_u:object_r:rpcbind_exec_t,s0)
>
> /var/cache/rpcbind(/.*)? gen_context(system_u:object_r:rpcbind_var_lib_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/rpc.fc ./policy/modules/contrib/rpc.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/rpc.fc 2016-12-27 23:12:23.613488284 +1100
> +++ ./policy/modules/contrib/rpc.fc 2017-01-10 17:58:35.130057404 +1100
> @@ -4,9 +4,6 @@
> /etc/rc\.d/init\.d/nfslock -- gen_context(system_u:object_r:rpcd_initrc_exec_t,s0)
> /etc/rc\.d/init\.d/rpcidmapd -- gen_context(system_u:object_r:rpcd_initrc_exec_t,s0)
>
> -/sbin/rpc\..* -- gen_context(system_u:object_r:rpcd_exec_t,s0)
> -/sbin/sm-notify -- gen_context(system_u:object_r:rpcd_exec_t,s0)
> -
> /usr/lib/systemd/system/nfs.*\.service -- gen_context(system_u:object_r:nfsd_unit_t,s0)
> /usr/lib/systemd/system/rpc.*\.service -- gen_context(system_u:object_r:rpcd_unit_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/rpm.fc ./policy/modules/contrib/rpm.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/rpm.fc 2016-12-31 21:09:27.285585236 +1100
> +++ ./policy/modules/contrib/rpm.fc 2017-01-10 17:58:35.130057404 +1100
> @@ -1,8 +1,6 @@
> -/bin/rpm -- gen_context(system_u:object_r:rpm_exec_t,s0)
> -
> /etc/rc\.d/init\.d/bcfg2 -- gen_context(system_u:object_r:rpm_initrc_exec_t,s0)
>
> -/sbin/yast2 -- gen_context(system_u:object_r:rpm_exec_t,s0)
> +/usr/sbin/yast2 -- gen_context(system_u:object_r:rpm_exec_t,s0)
>
> /usr/bin/debuginfo-install -- gen_context(system_u:object_r:debuginfo_exec_t,s0)
> /usr/bin/fedora-rmdevelrpms -- gen_context(system_u:object_r:rpm_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/shorewall.fc ./policy/modules/contrib/shorewall.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/shorewall.fc 2016-07-30 08:14:41.149651239 +1000
> +++ ./policy/modules/contrib/shorewall.fc 2017-01-10 17:58:35.130057404 +1100
> @@ -3,9 +3,6 @@
> /etc/shorewall(/.*)? gen_context(system_u:object_r:shorewall_etc_t,s0)
> /etc/shorewall-lite(/.*)? gen_context(system_u:object_r:shorewall_etc_t,s0)
>
> -/sbin/shorewall6? -- gen_context(system_u:object_r:shorewall_exec_t,s0)
> -/sbin/shorewall-lite -- gen_context(system_u:object_r:shorewall_exec_t,s0)
> -
> /usr/sbin/shorewall6? -- gen_context(system_u:object_r:shorewall_exec_t,s0)
> /usr/sbin/shorewall-lite -- gen_context(system_u:object_r:shorewall_exec_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/shutdown.fc ./policy/modules/contrib/shutdown.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/shutdown.fc 2016-12-27 23:12:23.613488284 +1100
> +++ ./policy/modules/contrib/shutdown.fc 2017-01-10 17:58:35.130057404 +1100
> @@ -1,9 +1,5 @@
> /etc/nologin -- gen_context(system_u:object_r:shutdown_etc_t,s0)
>
> -/lib/upstart/shutdown -- gen_context(system_u:object_r:shutdown_exec_t,s0)
> -
> -/sbin/shutdown -- gen_context(system_u:object_r:shutdown_exec_t,s0)
> -
> /usr/lib/upstart/shutdown -- gen_context(system_u:object_r:shutdown_exec_t,s0)
>
> /usr/sbin/shutdown -- gen_context(system_u:object_r:shutdown_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/usbmodules.fc ./policy/modules/contrib/usbmodules.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/usbmodules.fc 2016-07-30 08:14:41.157651450 +1000
> +++ ./policy/modules/contrib/usbmodules.fc 2017-01-10 17:58:35.130057404 +1100
> @@ -1,3 +1 @@
> -/sbin/usbmodules -- gen_context(system_u:object_r:usbmodules_exec_t,s0)
> -
> /usr/sbin/usbmodules -- gen_context(system_u:object_r:usbmodules_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/vpn.fc ./policy/modules/contrib/vpn.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/vpn.fc 2016-12-27 23:12:23.621488504 +1100
> +++ ./policy/modules/contrib/vpn.fc 2017-01-10 17:58:35.134057530 +1100
> @@ -1,5 +1,3 @@
> -/sbin/vpnc -- gen_context(system_u:object_r:vpnc_exec_t,s0)
> -
> /usr/bin/openconnect -- gen_context(system_u:object_r:vpnc_exec_t,s0)
>
> /usr/sbin/vpnc -- gen_context(system_u:object_r:vpnc_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/zosremote.fc ./policy/modules/contrib/zosremote.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/zosremote.fc 2016-07-30 08:14:41.165651661 +1000
> +++ ./policy/modules/contrib/zosremote.fc 2017-01-10 17:58:35.134057530 +1100
> @@ -1,3 +1 @@
> -/sbin/audispd-zos-remote -- gen_context(system_u:object_r:zos_remote_exec_t,s0)
> -
> /usr/sbin/audispd-zos-remote -- gen_context(system_u:object_r:zos_remote_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/kernel/corecommands.fc ./policy/modules/kernel/corecommands.fc
> --- /home/rjc/src/pol-git/policy/modules/kernel/corecommands.fc 2016-12-31 21:09:24.673504756 +1100
> +++ ./policy/modules/kernel/corecommands.fc 2017-01-10 18:02:00.404520096 +1100
> @@ -1,19 +1,17 @@
> #
> # /bin
> #
> -/bin -d gen_context(system_u:object_r:bin_t,s0)
> -/bin/.* gen_context(system_u:object_r:bin_t,s0)
> -/bin/d?ash -- gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/bash -- gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/bash2 -- gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/fish -- gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/ksh.* -- gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/mksh -- gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/mountpoint -- gen_context(system_u:object_r:bin_t,s0)
> -/bin/sash -- gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/tcsh -- gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/yash -- gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/zsh.* -- gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/bin gen_context(system_u:object_r:bin_t,s0)
> +/usr/bin/.* gen_context(system_u:object_r:bin_t,s0)
> +/usr/bin/d?ash -- gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/bin/bash -- gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/bin/bash2 -- gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/bin/ksh.* -- gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/bin/mksh -- gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/bin/mountpoint -- gen_context(system_u:object_r:bin_t,s0)
> +/usr/bin/sash -- gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/bin/yash -- gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/bin/zsh.* -- gen_context(system_u:object_r:shell_exec_t,s0)
>
> #
> # /dev
> @@ -131,30 +129,30 @@
> # /lib
> #
>
> -/lib/nut/.* -- gen_context(system_u:object_r:bin_t,s0)
> -/lib/readahead(/.*)? gen_context(system_u:object_r:bin_t,s0)
> -/lib/security/pam_krb5/pam_krb5_storetmp -- gen_context(system_u:object_r:bin_t,s0)
> -/lib/udev/[^/]* -- gen_context(system_u:object_r:bin_t,s0)
> -/lib/udev/scsi_id -- gen_context(system_u:object_r:bin_t,s0)
> -/lib/upstart(/.*)? gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/nut/.* -- gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/readahead(/.*)? gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/security/pam_krb5/pam_krb5_storetmp -- gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/udev/[^/]* -- gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/udev/scsi_id -- gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/upstart(/.*)? gen_context(system_u:object_r:bin_t,s0)
>
> ifdef(`distro_gentoo',`
> -/lib/dhcpcd/dhcpcd-run-hooks -- gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/dhcpcd/dhcpcd-run-hooks -- gen_context(system_u:object_r:bin_t,s0)
>
> -/lib/rcscripts/addons(/.*)? gen_context(system_u:object_r:bin_t,s0)
> -/lib/rcscripts/sh(/.*)? gen_context(system_u:object_r:bin_t,s0)
> -/lib/rcscripts/net\.modules\.d/helpers\.d/dhclient-.* -- gen_context(system_u:object_r:bin_t,s0)
> -/lib/rcscripts/net\.modules\.d/helpers\.d/udhcpc-.* -- gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/rcscripts/addons(/.*)? gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/rcscripts/sh(/.*)? gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/rcscripts/net\.modules\.d/helpers\.d/dhclient-.* -- gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/rcscripts/net\.modules\.d/helpers\.d/udhcpc-.* -- gen_context(system_u:object_r:bin_t,s0)
> ')
>
> #
> # /sbin
> #
> -/sbin -d gen_context(system_u:object_r:bin_t,s0)
> -/sbin/.* gen_context(system_u:object_r:bin_t,s0)
> -/sbin/insmod_ksymoops_clean -- gen_context(system_u:object_r:bin_t,s0)
> -/sbin/mkfs\.cramfs -- gen_context(system_u:object_r:bin_t,s0)
> -/sbin/nologin -- gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/sbin gen_context(system_u:object_r:bin_t,s0)
> +/usr/sbin/.* gen_context(system_u:object_r:bin_t,s0)
> +/usr/sbin/insmod_ksymoops_clean -- gen_context(system_u:object_r:bin_t,s0)
> +/usr/sbin/mkfs\.cramfs -- gen_context(system_u:object_r:bin_t,s0)
> +/usr/sbin/nologin -- gen_context(system_u:object_r:shell_exec_t,s0)
>
> #
> # /opt
> @@ -181,7 +179,7 @@
> # /usr
> #
> /usr/(.*/)?Bin(/.*)? gen_context(system_u:object_r:bin_t,s0)
> -/usr/(.*/)?bin(/.*)? gen_context(system_u:object_r:bin_t,s0)
> +/usr/bin(/.*)? gen_context(system_u:object_r:bin_t,s0)
> /usr/bin/d?ash -- gen_context(system_u:object_r:shell_exec_t,s0)
> /usr/bin/bash -- gen_context(system_u:object_r:shell_exec_t,s0)
> /usr/bin/bash2 -- gen_context(system_u:object_r:shell_exec_t,s0)
> @@ -196,10 +194,10 @@
> /usr/bin/yash -- gen_context(system_u:object_r:shell_exec_t,s0)
> /usr/bin/zsh.* -- gen_context(system_u:object_r:shell_exec_t,s0)
>
> -/usr/lib(.*/)?bin(/.*)? gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/(.*/)?bin(/.*)? gen_context(system_u:object_r:bin_t,s0)
>
> /usr/(.*/)?sbin(/.*)? gen_context(system_u:object_r:bin_t,s0)
> -/usr/lib(.*/)?sbin(/.*)? gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/(.*/)?sbin(/.*)? gen_context(system_u:object_r:bin_t,s0)
>
> /usr/lib/at-spi2-core(/.*)? gen_context(system_u:object_r:bin_t,s0)
> /usr/lib/avahi/avahi-daemon-check-dns\.sh -- gen_context(system_u:object_r:bin_t,s0)
> @@ -284,14 +282,14 @@
> /usr/lib/[^/]*/mozilla-xremote-client -- gen_context(system_u:object_r:bin_t,s0)
> /usr/lib/thunderbird.*/mozilla-xremote-client -- gen_context(system_u:object_r:bin_t,s0)
>
> -/usr/lib/xen/bin(/.*)? gen_context(system_u:object_r:bin_t,s0)
> -
> /usr/libexec(/.*)? gen_context(system_u:object_r:bin_t,s0)
> /usr/libexec/git-core/git-shell -- gen_context(system_u:object_r:shell_exec_t,s0)
> /usr/libexec/sesh -- gen_context(system_u:object_r:shell_exec_t,s0)
>
> /usr/libexec/openssh/sftp-server -- gen_context(system_u:object_r:bin_t,s0)
>
> +/usr/local/bin(/.*)? gen_context(system_u:object_r:bin_t,s0)
> +/usr/local/sbin(/.*)? gen_context(system_u:object_r:bin_t,s0)
> /usr/local/Brother(/.*)? gen_context(system_u:object_r:bin_t,s0)
> /usr/local/Printer(/.*)? gen_context(system_u:object_r:bin_t,s0)
> /usr/local/linuxprinter/filters(/.*)? gen_context(system_u:object_r:bin_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/kernel/corenetwork.fc ./policy/modules/kernel/corenetwork.fc
> --- /home/rjc/src/pol-git/policy/modules/kernel/corenetwork.fc 2017-01-10 17:57:39.236295140 +1100
> +++ ./policy/modules/kernel/corenetwork.fc 2017-01-10 18:02:39.949763456 +1100
> @@ -5,8 +5,5 @@
>
> /dev/net/.* -c gen_context(system_u:object_r:tun_tap_device_t,s0)
>
> -/lib/udev/devices/ppp -c gen_context(system_u:object_r:ppp_device_t,s0)
> -/lib/udev/devices/net/.* -c gen_context(system_u:object_r:tun_tap_device_t,s0)
> -
> /usr/lib/udev/devices/ppp -c gen_context(system_u:object_r:ppp_device_t,s0)
> /usr/lib/udev/devices/net/.* -c gen_context(system_u:object_r:tun_tap_device_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/kernel/devices.fc ./policy/modules/kernel/devices.fc
> --- /home/rjc/src/pol-git/policy/modules/kernel/devices.fc 2016-12-31 21:09:24.673504756 +1100
> +++ ./policy/modules/kernel/devices.fc 2017-01-10 17:58:35.146057909 +1100
> @@ -194,10 +194,10 @@
> /etc/udev/devices -d gen_context(system_u:object_r:device_t,s0)
>
> # used by init scripts to initally populate udev /dev
> -/lib/udev/devices(/.*)? gen_context(system_u:object_r:device_t,s0)
> -/lib/udev/devices/lp.* -c gen_context(system_u:object_r:printer_device_t,s0)
> -/lib/udev/devices/null -c gen_context(system_u:object_r:null_device_t,s0)
> -/lib/udev/devices/zero -c gen_context(system_u:object_r:zero_device_t,s0)
> +/usr/lib/udev/devices(/.*)? gen_context(system_u:object_r:device_t,s0)
> +/usr/lib/udev/devices/lp.* -c gen_context(system_u:object_r:printer_device_t,s0)
> +/usr/lib/udev/devices/null -c gen_context(system_u:object_r:null_device_t,s0)
> +/usr/lib/udev/devices/zero -c gen_context(system_u:object_r:zero_device_t,s0)
>
> /usr/lib/udev/devices(/.*)? gen_context(system_u:object_r:device_t,s0)
> /usr/lib/udev/devices/lp.* -c gen_context(system_u:object_r:printer_device_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/kernel/files.fc ./policy/modules/kernel/files.fc
> --- /home/rjc/src/pol-git/policy/modules/kernel/files.fc 2016-12-31 21:09:24.673504756 +1100
> +++ ./policy/modules/kernel/files.fc 2017-01-10 18:03:25.659199980 +1100
> @@ -106,12 +106,12 @@
> #
> # /lib(64)?
> #
> -/lib/modules(/.*)? gen_context(system_u:object_r:modules_object_t,s0)
> +/usr/lib/modules(/.*)? gen_context(system_u:object_r:modules_object_t,s0)
>
> ifdef(`distro_debian',`
> # on Debian /lib/init/rw is a tmpfs used like /var/run but
> # before /var is mounted
> -/lib/init/rw(/.*)? gen_context(system_u:object_r:var_run_t,s0-mls_systemhigh)
> +/usr/lib/init/rw(/.*)? gen_context(system_u:object_r:var_run_t,s0-mls_systemhigh)
> ')
>
> #
> diff -ru /home/rjc/src/pol-git/policy/modules/kernel/filesystem.fc ./policy/modules/kernel/filesystem.fc
> --- /home/rjc/src/pol-git/policy/modules/kernel/filesystem.fc 2016-12-31 21:09:24.673504756 +1100
> +++ ./policy/modules/kernel/filesystem.fc 2017-01-10 17:58:35.150058035 +1100
> @@ -6,10 +6,10 @@
> /dev/shm -d gen_context(system_u:object_r:tmpfs_t,s0)
> /dev/shm/.* <<none>>
>
> -/lib/udev/devices/hugepages -d gen_context(system_u:object_r:hugetlbfs_t,s0)
> -/lib/udev/devices/hugepages/.* <<none>>
> -/lib/udev/devices/shm -d gen_context(system_u:object_r:tmpfs_t,s0)
> -/lib/udev/devices/shm/.* <<none>>
> +/usr/lib/udev/devices/hugepages -d gen_context(system_u:object_r:hugetlbfs_t,s0)
> +/usr/lib/udev/devices/hugepages/.* <<none>>
> +/usr/lib/udev/devices/shm -d gen_context(system_u:object_r:tmpfs_t,s0)
> +/usr/lib/udev/devices/shm/.* <<none>>
>
> /usr/lib/udev/devices/hugepages -d gen_context(system_u:object_r:hugetlbfs_t,s0)
> /usr/lib/udev/devices/hugepages/.* <<none>>
> diff -ru /home/rjc/src/pol-git/policy/modules/kernel/storage.fc ./policy/modules/kernel/storage.fc
> --- /home/rjc/src/pol-git/policy/modules/kernel/storage.fc 2016-12-31 21:09:24.677504879 +1100
> +++ ./policy/modules/kernel/storage.fc 2017-01-10 18:04:16.428794725 +1100
> @@ -83,8 +83,5 @@
>
> /dev/usb/rio500 -c gen_context(system_u:object_r:removable_device_t,s0)
>
> -/lib/udev/devices/loop.* -b gen_context(system_u:object_r:fixed_disk_device_t,mls_systemhigh)
> -/lib/udev/devices/fuse -c gen_context(system_u:object_r:fuse_device_t,s0)
> -
> /usr/lib/udev/devices/loop.* -b gen_context(system_u:object_r:fixed_disk_device_t,mls_systemhigh)
> /usr/lib/udev/devices/fuse -c gen_context(system_u:object_r:fuse_device_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/kernel/terminal.fc ./policy/modules/kernel/terminal.fc
> --- /home/rjc/src/pol-git/policy/modules/kernel/terminal.fc 2017-01-10 17:57:39.236295140 +1100
> +++ ./policy/modules/kernel/terminal.fc 2017-01-10 17:58:35.762077323 +1100
> @@ -41,5 +41,5 @@
> /dev/tts/[0-9]+ -c gen_context(system_u:object_r:tty_device_t,s0)
>
> # used by init scripts to initally populate udev /dev
> -/lib/udev/devices/console -c gen_context(system_u:object_r:console_device_t,s0)
> +/usr/lib/udev/devices/console -c gen_context(system_u:object_r:console_device_t,s0)
> ')
> diff -ru /home/rjc/src/pol-git/policy/modules/system/authlogin.fc ./policy/modules/system/authlogin.fc
> --- /home/rjc/src/pol-git/policy/modules/system/authlogin.fc 2016-12-31 21:09:24.677504879 +1100
> +++ ./policy/modules/system/authlogin.fc 2017-01-10 18:07:41.183333055 +1100
> @@ -1,5 +1,5 @@
>
> -/bin/login -- gen_context(system_u:object_r:login_exec_t,s0)
> +/usr/bin/login -- gen_context(system_u:object_r:login_exec_t,s0)
>
> /etc/\.pwd\.lock -- gen_context(system_u:object_r:shadow_t,s0)
> /etc/group\.lock -- gen_context(system_u:object_r:shadow_t,s0)
> @@ -7,13 +7,10 @@
> /etc/passwd\.lock -- gen_context(system_u:object_r:shadow_t,s0)
> /etc/shadow.* -- gen_context(system_u:object_r:shadow_t,s0)
>
> -/sbin/pam_console_apply -- gen_context(system_u:object_r:pam_console_exec_t,s0)
> -/sbin/pam_timestamp_check -- gen_context(system_u:object_r:pam_exec_t,s0)
> -/sbin/unix_chkpwd -- gen_context(system_u:object_r:chkpwd_exec_t,s0)
> -/sbin/unix_update -- gen_context(system_u:object_r:updpwd_exec_t,s0)
> -/sbin/unix_verify -- gen_context(system_u:object_r:chkpwd_exec_t,s0)
> +/usr/sbin/pam_console_apply -- gen_context(system_u:object_r:pam_console_exec_t,s0)
> +/usr/sbin/pam_timestamp_check -- gen_context(system_u:object_r:pam_exec_t,s0)
> ifdef(`distro_suse', `
> -/sbin/unix2_chkpwd -- gen_context(system_u:object_r:chkpwd_exec_t,s0)
> +/usr/sbin/unix2_chkpwd -- gen_context(system_u:object_r:chkpwd_exec_t,s0)
> ')
>
> /usr/bin/login -- gen_context(system_u:object_r:login_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/clock.fc ./policy/modules/system/clock.fc
> --- /home/rjc/src/pol-git/policy/modules/system/clock.fc 2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/clock.fc 2017-01-10 17:58:35.134057530 +1100
> @@ -1,6 +1,6 @@
>
> /etc/adjtime -- gen_context(system_u:object_r:adjtime_t,s0)
>
> -/sbin/hwclock -- gen_context(system_u:object_r:hwclock_exec_t,s0)
> +/usr/sbin/hwclock -- gen_context(system_u:object_r:hwclock_exec_t,s0)
>
> /usr/sbin/hwclock -- gen_context(system_u:object_r:hwclock_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/fstools.fc ./policy/modules/system/fstools.fc
> --- /home/rjc/src/pol-git/policy/modules/system/fstools.fc 2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/fstools.fc 2017-01-10 17:58:35.134057530 +1100
> @@ -1,47 +1,42 @@
> -/sbin/badblocks -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/blkid -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/blockdev -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/cfdisk -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/dosfsck -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/dump -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/dumpe2fs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/e2fsck -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/e4fsck -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/e2label -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/fdisk -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/findfs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/fsck.* -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/hdparm -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/install-mbr -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/jfs_.* -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/losetup.* -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/lsraid -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/make_reiser4 -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/mkdosfs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/mke2fs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/mke4fs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/mkfs.* -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/mkraid -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/mkreiserfs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/mkswap -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/parted -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/partprobe -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/partx -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/raidautorun -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/raidstart -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/reiserfs(ck|tune) -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/resize.*fs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/scsi_info -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/sfdisk -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/swapoff -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/swapon.* -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/tune2fs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/zdb -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/zhack -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/zinject -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/zpios -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/zstreamdump -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/ztest -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/badblocks -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/blkid -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/blockdev -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/cfdisk -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/dosfsck -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/dump -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/dumpe2fs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/e2fsck -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/e4fsck -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/e2label -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/fdisk -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/findfs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/hdparm -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/install-mbr -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/jfs_.* -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/losetup.* -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/lsraid -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/make_reiser4 -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/mkdosfs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/mke2fs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/mke4fs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/mkraid -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/mkreiserfs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/mkswap -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/raidautorun -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/raidstart -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/reiserfs(ck|tune) -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/resize.*fs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/scsi_info -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/sfdisk -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/swapoff -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/swapon.* -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/tune2fs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/zdb -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/zhack -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/zinject -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/zpios -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/zstreamdump -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/ztest -- gen_context(system_u:object_r:fsadm_exec_t,s0)
>
> /usr/bin/partition_uuid -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> /usr/bin/raw -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/getty.fc ./policy/modules/system/getty.fc
> --- /home/rjc/src/pol-git/policy/modules/system/getty.fc 2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/getty.fc 2017-01-10 17:58:35.134057530 +1100
> @@ -1,7 +1,7 @@
>
> /etc/mgetty(/.*)? gen_context(system_u:object_r:getty_etc_t,s0)
>
> -/sbin/.*getty -- gen_context(system_u:object_r:getty_exec_t,s0)
> +/usr/sbin/.*getty -- gen_context(system_u:object_r:getty_exec_t,s0)
>
> /usr/sbin/.*getty -- gen_context(system_u:object_r:getty_exec_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/system/hostname.fc ./policy/modules/system/hostname.fc
> --- /home/rjc/src/pol-git/policy/modules/system/hostname.fc 2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/hostname.fc 2017-01-10 17:58:35.134057530 +1100
> @@ -1,4 +1,4 @@
>
> -/bin/hostname -- gen_context(system_u:object_r:hostname_exec_t,s0)
> +/usr/bin/hostname -- gen_context(system_u:object_r:hostname_exec_t,s0)
>
> /usr/bin/hostname -- gen_context(system_u:object_r:hostname_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/hotplug.fc ./policy/modules/system/hotplug.fc
> --- /home/rjc/src/pol-git/policy/modules/system/hotplug.fc 2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/hotplug.fc 2017-01-10 17:58:35.138057656 +1100
> @@ -7,8 +7,8 @@
> /run/usb(/.*)? gen_context(system_u:object_r:hotplug_var_run_t,s0)
> /run/hotplug(/.*)? gen_context(system_u:object_r:hotplug_var_run_t,s0)
>
> -/sbin/hotplug -- gen_context(system_u:object_r:hotplug_exec_t,s0)
> -/sbin/netplugd -- gen_context(system_u:object_r:hotplug_exec_t,s0)
> +/usr/sbin/hotplug -- gen_context(system_u:object_r:hotplug_exec_t,s0)
> +/usr/sbin/netplugd -- gen_context(system_u:object_r:hotplug_exec_t,s0)
>
> /usr/sbin/hotplug -- gen_context(system_u:object_r:hotplug_exec_t,s0)
> /usr/sbin/netplugd -- gen_context(system_u:object_r:hotplug_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/init.fc ./policy/modules/system/init.fc
> --- /home/rjc/src/pol-git/policy/modules/system/init.fc 2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/init.fc 2017-01-10 17:58:35.138057656 +1100
> @@ -22,21 +22,17 @@
> #
> # /lib
> #
> -/lib/systemd/systemd -- gen_context(system_u:object_r:init_exec_t,s0)
>
> ifdef(`distro_gentoo', `
> -/lib/rc/init\.d(/.*)? gen_context(system_u:object_r:initrc_state_t,s0)
> +/usr/lib/rc/init\.d(/.*)? gen_context(system_u:object_r:initrc_state_t,s0)
> ')
>
> #
> # /sbin
> #
> -/sbin/init(ng)? -- gen_context(system_u:object_r:init_exec_t,s0)
> -# because nowadays, /sbin/init is often a symlink to /sbin/upstart
> -/sbin/upstart -- gen_context(system_u:object_r:init_exec_t,s0)
>
> ifdef(`distro_gentoo', `
> -/sbin/rc -- gen_context(system_u:object_r:rc_exec_t,s0)
> +/usr/sbin/rc -- gen_context(system_u:object_r:rc_exec_t,s0)
> ')
>
> #
> diff -ru /home/rjc/src/pol-git/policy/modules/system/ipsec.fc ./policy/modules/system/ipsec.fc
> --- /home/rjc/src/pol-git/policy/modules/system/ipsec.fc 2016-12-27 23:12:20.925414371 +1100
> +++ ./policy/modules/system/ipsec.fc 2017-01-10 17:58:35.138057656 +1100
> @@ -18,8 +18,6 @@
> /etc/swanctl -d gen_context(system_u:object_r:ipsec_conf_file_t,s0)
> /etc/swanctl/swanctl.conf -- gen_context(system_u:object_r:ipsec_conf_file_t,s0)
>
> -/sbin/setkey -- gen_context(system_u:object_r:setkey_exec_t,s0)
> -
> /usr/lib/ipsec/_plutoload -- gen_context(system_u:object_r:ipsec_mgmt_exec_t,s0)
> /usr/lib/ipsec/_plutorun -- gen_context(system_u:object_r:ipsec_mgmt_exec_t,s0)
> /usr/lib/ipsec/eroute -- gen_context(system_u:object_r:ipsec_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/iptables.fc ./policy/modules/system/iptables.fc
> --- /home/rjc/src/pol-git/policy/modules/system/iptables.fc 2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/iptables.fc 2017-01-10 17:58:35.138057656 +1100
> @@ -4,18 +4,16 @@
> /etc/sysconfig/ip6?tables.* -- gen_context(system_u:object_r:iptables_conf_t,s0)
> /etc/sysconfig/system-config-firewall.* -- gen_context(system_u:object_r:iptables_conf_t,s0)
>
> -/sbin/ebtables -- gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ebtables-restore -- gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ipchains.* -- gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ipset -- gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ip6?tables -- gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ip6?tables-restore -- gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ip6?tables-multi -- gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ipvsadm -- gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ipvsadm-restore -- gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ipvsadm-save -- gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/nft -- gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/xtables-multi -- gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/ebtables -- gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/ebtables-restore -- gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/ip6?tables -- gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/ip6?tables-restore -- gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/ip6?tables-multi -- gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/ipvsadm -- gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/ipvsadm-restore -- gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/ipvsadm-save -- gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/nft -- gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/xtables-multi -- gen_context(system_u:object_r:iptables_exec_t,s0)
>
> /usr/lib/systemd/system/[^/]*arptables.* -- gen_context(system_u:object_r:iptables_unit_t,s0)
> /usr/lib/systemd/system/[^/]*ebtables.* -- gen_context(system_u:object_r:iptables_unit_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/libraries.fc ./policy/modules/system/libraries.fc
> --- /home/rjc/src/pol-git/policy/modules/system/libraries.fc 2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/libraries.fc 2017-01-10 17:58:35.138057656 +1100
> @@ -35,12 +35,13 @@
> #
> # /lib(64)?
> #
> -/lib -d gen_context(system_u:object_r:lib_t,s0)
> -/lib -l gen_context(system_u:object_r:lib_t,s0)
> -/lib/.* gen_context(system_u:object_r:lib_t,s0)
> -/lib/ld-[^/]*\.so(\.[^/]*)* -- gen_context(system_u:object_r:ld_so_t,s0)
> +/usr/lib gen_context(system_u:object_r:lib_t,s0)
> +/usr/lib64 gen_context(system_u:object_r:lib_t,s0)
> +/usr/lib/.* gen_context(system_u:object_r:lib_t,s0)
> +/usr/lib64/.* gen_context(system_u:object_r:lib_t,s0)
> +/usr/lib/ld-[^/]*\.so(\.[^/]*)* -- gen_context(system_u:object_r:ld_so_t,s0)
>
> -/lib/security/pam_poldi\.so -- gen_context(system_u:object_r:textrel_shlib_t,s0)
> +/usr/lib/security/pam_poldi\.so -- gen_context(system_u:object_r:textrel_shlib_t,s0)
>
> #
> # /opt
> @@ -93,7 +94,7 @@
> #
> # /sbin
> #
> -/sbin/ldconfig -- gen_context(system_u:object_r:ldconfig_exec_t,s0)
> +/usr/sbin/ldconfig -- gen_context(system_u:object_r:ldconfig_exec_t,s0)
>
> #
> # /usr
> @@ -108,7 +109,7 @@
> /usr/(.*/)?lib(/.*)? gen_context(system_u:object_r:lib_t,s0)
> /usr/(.*/)?lib64(/.*)? gen_context(system_u:object_r:lib_t,s0)
>
> -/usr/(.*/)?lib(64)?(/.*)?/ld-[^/]*\.so(\.[^/]*)* gen_context(system_u:object_r:ld_so_t,s0)
> +/usr/lib/(.*/)?ld-[^/]*\.so(\.[^/]*)? -- gen_context(system_u:object_r:ld_so_t,s0)
>
> /usr/(.*/)?nvidia/.+\.so(\..*)? -- gen_context(system_u:object_r:textrel_shlib_t,s0)
>
> @@ -166,10 +167,6 @@
> /usr/lib/xorg/modules/extensions/libglx\.so(\.[^/]*)* -- gen_context(system_u:object_r:textrel_shlib_t,s0)
> /usr/x11R6/lib/modules/extensions/libglx\.so(\.[^/]*)* -- gen_context(system_u:object_r:textrel_shlib_t,s0)
>
> -ifdef(`distro_debian',`
> -/usr/lib -l gen_context(system_u:object_r:lib_t,s0)
> -')
> -
> ifdef(`distro_gentoo',`
> /usr/lib -l gen_context(system_u:object_r:lib_t,s0)
> ')
> diff -ru /home/rjc/src/pol-git/policy/modules/system/locallogin.fc ./policy/modules/system/locallogin.fc
> --- /home/rjc/src/pol-git/policy/modules/system/locallogin.fc 2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/locallogin.fc 2017-01-10 17:58:35.138057656 +1100
> @@ -1,6 +1,6 @@
>
> -/sbin/sulogin -- gen_context(system_u:object_r:sulogin_exec_t,s0)
> -/sbin/sushell -- gen_context(system_u:object_r:sulogin_exec_t,s0)
> +/usr/sbin/sulogin -- gen_context(system_u:object_r:sulogin_exec_t,s0)
> +/usr/sbin/sushell -- gen_context(system_u:object_r:sulogin_exec_t,s0)
>
> /usr/sbin/sulogin -- gen_context(system_u:object_r:sulogin_exec_t,s0)
> /usr/sbin/sushell -- gen_context(system_u:object_r:sulogin_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/logging.fc ./policy/modules/system/logging.fc
> --- /home/rjc/src/pol-git/policy/modules/system/logging.fc 2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/logging.fc 2017-01-10 17:58:35.138057656 +1100
> @@ -6,17 +6,6 @@
> /etc/rc\.d/init\.d/auditd -- gen_context(system_u:object_r:auditd_initrc_exec_t,s0)
> /etc/rc\.d/init\.d/rsyslog -- gen_context(system_u:object_r:syslogd_initrc_exec_t,s0)
>
> -/sbin/audispd -- gen_context(system_u:object_r:audisp_exec_t,s0)
> -/sbin/audisp-remote -- gen_context(system_u:object_r:audisp_remote_exec_t,s0)
> -/sbin/auditctl -- gen_context(system_u:object_r:auditctl_exec_t,s0)
> -/sbin/auditd -- gen_context(system_u:object_r:auditd_exec_t,s0)
> -/sbin/klogd -- gen_context(system_u:object_r:klogd_exec_t,s0)
> -/sbin/minilogd -- gen_context(system_u:object_r:syslogd_exec_t,s0)
> -/sbin/rklogd -- gen_context(system_u:object_r:klogd_exec_t,s0)
> -/sbin/rsyslogd -- gen_context(system_u:object_r:syslogd_exec_t,s0)
> -/sbin/syslogd -- gen_context(system_u:object_r:syslogd_exec_t,s0)
> -/sbin/syslog-ng -- gen_context(system_u:object_r:syslogd_exec_t,s0)
> -
> /usr/lib/systemd/system/auditd.* -- gen_context(system_u:object_r:auditd_unit_t,s0)
> /usr/lib/systemd/system/[^/]*systemd-journal.* -- gen_context(system_u:object_r:syslogd_unit_t,s0)
> /usr/lib/systemd/systemd-journald -- gen_context(system_u:object_r:syslogd_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/lvm.fc ./policy/modules/system/lvm.fc
> --- /home/rjc/src/pol-git/policy/modules/system/lvm.fc 2016-12-31 21:09:24.685505126 +1100
> +++ ./policy/modules/system/lvm.fc 2017-01-10 17:58:35.142057783 +1100
> @@ -7,7 +7,7 @@
> # /bin
> #
> ifdef(`distro_gentoo',`
> -/bin/cryptsetup -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/bin/cryptsetup -- gen_context(system_u:object_r:lvm_exec_t,s0)
> ')
>
> #
> @@ -26,65 +26,64 @@
> #
> # /lib
> #
> -/lib/lvm-10/.* -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/lib/lvm-200/.* -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/lib/udev/udisks-lvm-pv-export -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/lib/lvm-10/.* -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/lib/lvm-200/.* -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/lib/udev/udisks-lvm-pv-export -- gen_context(system_u:object_r:lvm_exec_t,s0)
>
> #
> # /sbin
> #
> -/sbin/cryptsetup -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/dmraid -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/dmsetup -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/dmsetup\.static -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/e2fsadm -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvchange -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvcreate -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvdisplay -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvextend -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvm -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvm\.static -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvmchange -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvmdiskscan -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvmiopversion -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvmsadc -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvmsar -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvreduce -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvremove -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvrename -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvresize -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvs -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvscan -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/multipathd -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/multipath\.static -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/pvchange -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/pvcreate -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/pvdata -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/pvdisplay -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/pvmove -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/pvremove -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/pvs -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/pvscan -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgcfgbackup -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgcfgrestore -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgchange -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgchange\.static -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgck -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgcreate -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgdisplay -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgexport -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgextend -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgimport -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgmerge -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgmknodes -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgreduce -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgremove -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgrename -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgs -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgscan -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgscan\.static -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgsplit -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgwrapper -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/cryptsetup -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/dmraid -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/dmsetup -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/dmsetup\.static -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/e2fsadm -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvchange -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvcreate -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvdisplay -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvextend -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvm\.static -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvmchange -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvmdiskscan -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvmiopversion -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvmsadc -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvmsar -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvreduce -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvremove -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvrename -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvresize -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvs -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvscan -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/multipathd -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/multipath\.static -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/pvchange -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/pvcreate -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/pvdata -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/pvdisplay -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/pvmove -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/pvremove -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/pvs -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/pvscan -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgcfgbackup -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgcfgrestore -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgchange -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgchange\.static -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgck -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgcreate -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgdisplay -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgexport -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgextend -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgimport -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgmerge -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgmknodes -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgreduce -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgremove -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgrename -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgs -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgscan -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgscan\.static -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgsplit -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgwrapper -- gen_context(system_u:object_r:lvm_exec_t,s0)
>
> #
> # /usr
> diff -ru /home/rjc/src/pol-git/policy/modules/system/modutils.fc ./policy/modules/system/modutils.fc
> --- /home/rjc/src/pol-git/policy/modules/system/modutils.fc 2016-12-31 21:09:24.685505126 +1100
> +++ ./policy/modules/system/modutils.fc 2017-01-10 18:09:53.291691208 +1100
> @@ -1,5 +1,3 @@
> -/bin/kmod -- gen_context(system_u:object_r:kmod_exec_t,s0)
> -
> /etc/modules\.conf.* -- gen_context(system_u:object_r:modules_conf_t,s0)
> /etc/modprobe\.conf.* -- gen_context(system_u:object_r:modules_conf_t,s0)
> /etc/modprobe\.d(/.*)? gen_context(system_u:object_r:modules_conf_t,s0)
> @@ -10,20 +8,8 @@
> /etc/modprobe.devfs.* -- gen_context(system_u:object_r:modules_conf_t,s0)
> ')
>
> -/lib/modules/[^/]+/modules\..+ -- gen_context(system_u:object_r:modules_dep_t,s0)
> -
> -/lib/modules/modprobe\.conf -- gen_context(system_u:object_r:modules_conf_t,s0)
> -
> /run/tmpfiles.d(/.*)? gen_context(system_u:object_r:kmod_var_run_t,s0)
>
> -/sbin/depmod.* -- gen_context(system_u:object_r:kmod_exec_t,s0)
> -/sbin/generate-modprobe\.conf -- gen_context(system_u:object_r:kmod_exec_t,s0)
> -/sbin/insmod.* -- gen_context(system_u:object_r:kmod_exec_t,s0)
> -/sbin/modprobe.* -- gen_context(system_u:object_r:kmod_exec_t,s0)
> -/sbin/modules-update -- gen_context(system_u:object_r:kmod_exec_t,s0)
> -/sbin/rmmod.* -- gen_context(system_u:object_r:kmod_exec_t,s0)
> -/sbin/update-modules -- gen_context(system_u:object_r:kmod_exec_t,s0)
> -
> /usr/bin/kmod -- gen_context(system_u:object_r:kmod_exec_t,s0)
>
> /usr/lib/modules/[^/]+/modules\..+ -- gen_context(system_u:object_r:modules_dep_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/mount.fc ./policy/modules/system/mount.fc
> --- /home/rjc/src/pol-git/policy/modules/system/mount.fc 2017-01-10 17:57:39.244295392 +1100
> +++ ./policy/modules/system/mount.fc 2017-01-10 18:10:39.753222015 +1100
> @@ -1,11 +1,3 @@
> -/bin/fusermount -- gen_context(system_u:object_r:mount_exec_t,s0)
> -/bin/mount.* -- gen_context(system_u:object_r:mount_exec_t,s0)
> -/bin/umount.* -- gen_context(system_u:object_r:mount_exec_t,s0)
> -
> -/sbin/mount\.zfs -- gen_context(system_u:object_r:mount_exec_t,s0)
> -/sbin/zfs -- gen_context(system_u:object_r:mount_exec_t,s0)
> -/sbin/zpool -- gen_context(system_u:object_r:mount_exec_t,s0)
> -
> /usr/bin/fusermount -- gen_context(system_u:object_r:mount_exec_t,s0)
> /usr/bin/mount.* -- gen_context(system_u:object_r:mount_exec_t,s0)
> /usr/bin/umount.* -- gen_context(system_u:object_r:mount_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/netlabel.fc ./policy/modules/system/netlabel.fc
> --- /home/rjc/src/pol-git/policy/modules/system/netlabel.fc 2016-12-31 21:09:24.685505126 +1100
> +++ ./policy/modules/system/netlabel.fc 2017-01-10 17:58:35.142057783 +1100
> @@ -1,3 +1,3 @@
> -/sbin/netlabelctl -- gen_context(system_u:object_r:netlabel_mgmt_exec_t,s0)
> +/usr/sbin/netlabelctl -- gen_context(system_u:object_r:netlabel_mgmt_exec_t,s0)
>
> /usr/sbin/netlabelctl -- gen_context(system_u:object_r:netlabel_mgmt_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/selinuxutil.fc ./policy/modules/system/selinuxutil.fc
> --- /home/rjc/src/pol-git/policy/modules/system/selinuxutil.fc 2016-12-31 21:09:24.685505126 +1100
> +++ ./policy/modules/system/selinuxutil.fc 2017-01-10 17:58:35.142057783 +1100
> @@ -22,9 +22,7 @@
> #
> # /sbin
> #
> -/sbin/load_policy -- gen_context(system_u:object_r:load_policy_exec_t,s0)
> -/sbin/restorecon -- gen_context(system_u:object_r:setfiles_exec_t,s0)
> -/sbin/setfiles.* -- gen_context(system_u:object_r:setfiles_exec_t,s0)
> +/usr/sbin/restorecon -- gen_context(system_u:object_r:setfiles_exec_t,s0)
>
> #
> # /usr
> diff -ru /home/rjc/src/pol-git/policy/modules/system/setrans.fc ./policy/modules/system/setrans.fc
> --- /home/rjc/src/pol-git/policy/modules/system/setrans.fc 2016-12-31 21:09:24.685505126 +1100
> +++ ./policy/modules/system/setrans.fc 2017-01-10 17:58:35.142057783 +1100
> @@ -2,7 +2,7 @@
>
> /run/setrans(/.*)? gen_context(system_u:object_r:setrans_var_run_t,mls_systemhigh)
>
> -/sbin/mcstransd -- gen_context(system_u:object_r:setrans_exec_t,s0)
> +/usr/sbin/mcstransd -- gen_context(system_u:object_r:setrans_exec_t,s0)
>
> /usr/lib/systemd/system/mcstrans.*\.service -- gen_context(system_u:object_r:setrans_unit_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/system/sysnetwork.fc ./policy/modules/system/sysnetwork.fc
> --- /home/rjc/src/pol-git/policy/modules/system/sysnetwork.fc 2016-12-31 21:09:24.685505126 +1100
> +++ ./policy/modules/system/sysnetwork.fc 2017-01-10 18:16:40.301068723 +1100
> @@ -1,11 +1,5 @@
>
> #
> -# /bin
> -#
> -/bin/ifconfig -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/bin/ip -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -
> -#
> # /dev
> #
> ifdef(`distro_debian',`
> @@ -37,24 +31,6 @@
> ')
>
> #
> -# /sbin
> -#
> -/sbin/dhclient.* -- gen_context(system_u:object_r:dhcpc_exec_t,s0)
> -/sbin/dhcdbd -- gen_context(system_u:object_r:dhcpc_exec_t,s0)
> -/sbin/dhcpcd -- gen_context(system_u:object_r:dhcpc_exec_t,s0)
> -/sbin/ethtool -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/ifconfig -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/ip -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/ipx_configure -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/ipx_interface -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/ipx_internal_net -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/iw -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/iwconfig -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/mii-tool -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/pump -- gen_context(system_u:object_r:dhcpc_exec_t,s0)
> -/sbin/tc -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -
> -#
> # /usr
> #
> /usr/bin/ifconfig -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/systemd.fc ./policy/modules/system/systemd.fc
> --- /home/rjc/src/pol-git/policy/modules/system/systemd.fc 2016-12-31 21:09:24.685505126 +1100
> +++ ./policy/modules/system/systemd.fc 2017-01-10 18:18:57.213552868 +1100
> @@ -1,13 +1,3 @@
> -/bin/systemd-analyze -- gen_context(system_u:object_r:systemd_analyze_exec_t,s0)
> -/bin/systemd-cgtop -- gen_context(system_u:object_r:systemd_cgtop_exec_t,s0)
> -/bin/systemd-coredump -- gen_context(system_u:object_r:systemd_coredump_exec_t,s0)
> -/bin/systemd-detect-virt -- gen_context(system_u:object_r:systemd_detect_virt_exec_t,s0)
> -/bin/systemd-nspawn -- gen_context(system_u:object_r:systemd_nspawn_exec_t,s0)
> -/bin/systemd-run -- gen_context(system_u:object_r:systemd_run_exec_t,s0)
> -/bin/systemd-stdio-bridge -- gen_context(system_u:object_r:systemd_stdio_bridge_exec_t,s0)
> -/bin/systemd-tmpfiles -- gen_context(system_u:object_r:systemd_tmpfiles_exec_t,s0)
> -/bin/systemd-tty-ask-password-agent -- gen_context(system_u:object_r:systemd_passwd_agent_exec_t,s0)
> -
> /usr/bin/systemd-analyze -- gen_context(system_u:object_r:systemd_analyze_exec_t,s0)
> /usr/bin/systemd-cgtop -- gen_context(system_u:object_r:systemd_cgtop_exec_t,s0)
> /usr/bin/systemd-coredump -- gen_context(system_u:object_r:systemd_coredump_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/udev.fc ./policy/modules/system/udev.fc
> --- /home/rjc/src/pol-git/policy/modules/system/udev.fc 2016-12-31 21:09:24.685505126 +1100
> +++ ./policy/modules/system/udev.fc 2017-01-10 18:20:03.463719957 +1100
> @@ -9,22 +9,22 @@
> /etc/udev/rules.d(/.*)? gen_context(system_u:object_r:udev_rules_t,s0)
> /etc/udev/scripts/.+ -- gen_context(system_u:object_r:udev_helper_exec_t,s0)
>
> -/lib/udev/udev-acl -- gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/lib/udev/udev-acl -- gen_context(system_u:object_r:udev_exec_t,s0)
>
> ifdef(`distro_debian',`
> -/bin/udevadm -- gen_context(system_u:object_r:udev_exec_t,s0)
> -/lib/udev/create_static_nodes -- gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/bin/udevadm -- gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/lib/udev/create_static_nodes -- gen_context(system_u:object_r:udev_exec_t,s0)
> ')
>
> -/sbin/udev -- gen_context(system_u:object_r:udev_exec_t,s0)
> -/sbin/udevadm -- gen_context(system_u:object_r:udev_exec_t,s0)
> -/sbin/udevd -- gen_context(system_u:object_r:udev_exec_t,s0)
> -/sbin/udevsend -- gen_context(system_u:object_r:udev_exec_t,s0)
> -/sbin/udevstart -- gen_context(system_u:object_r:udev_exec_t,s0)
> -/sbin/wait_for_sysfs -- gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/sbin/udev -- gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/sbin/udevadm -- gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/sbin/udevd -- gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/sbin/udevsend -- gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/sbin/udevstart -- gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/sbin/wait_for_sysfs -- gen_context(system_u:object_r:udev_exec_t,s0)
>
> ifdef(`distro_redhat',`
> -/sbin/start_udev -- gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/sbin/start_udev -- gen_context(system_u:object_r:udev_exec_t,s0)
> ')
>
> /usr/bin/udevinfo -- gen_context(system_u:object_r:udev_exec_t,s0)
> @@ -44,6 +44,5 @@
> /run/udev(/.*)? gen_context(system_u:object_r:udev_var_run_t,s0)
>
> ifdef(`distro_debian',`
> -/lib/systemd/systemd-udevd -- gen_context(system_u:object_r:udev_exec_t,s0)
> /run/xen-hotplug -d gen_context(system_u:object_r:udev_var_run_t,s0)
> ')
--
Chris PeBenito
[[ I originally didnt remove the patch so the email was too long and the
list bounced it, resending ]]
On Sun, Jan 15, 2017 at 01:02:25PM -0500, Chris PeBenito wrote:
> On 01/10/17 02:30, Russell Coker via refpolicy wrote:
> > The following patch supports making /sbin, /lib*, and /bin symlinks to the
> > same named directories under /usr. This change is accomplished in Debian by
> > installing the "usrmerge" package and is apparently the default in Fedora.
> >
> > These changes have been tested in Debian and found to give the same labelling
> > as the policy without this patch in almost all cases. The exceptions were
> > files where the .fc files in question used one of /bin or /usr/bin that didn't
> > match what was done in Debian. The small number of changes to the policy
> > caused by this patch FIXED outstanding bugs.
> >
> > I expect that this won't give any changes to Fedora and it might fix some bugs
> > for Gentoo and SUSE.
> >
> > What it does is remove all duplicates in /bin and /usr/bin etc and uses a
> > subs_dist change to make the /usr change not affect policy.
>
> I don't have a problem with merging this patch; however, I will delay it
> at least until after the next release (which is in a few weeks or so).
> I'd also like to hear from Gentoo people on any impacts this may have.
Sorry its taken so long, I've been busy lately. I will test it on my
machine soon and get back to you hopefully on the weekend so I get some
testing in.
Also Nicolas Iooss did some work recently and has a script that goes
through to verify that everything in /bin has an equivalent in /usr/bin.
going this subs_dist route would make the fcontexts smaller tho which is
a plus and less confusion. I just need to be a bit extra careful since
gentoo is rolling but I dont forsee any issues.
-- Jason
On 01/10/17 02:30, Russell Coker via refpolicy wrote:
> The following patch supports making /sbin, /lib*, and /bin symlinks to the
> same named directories under /usr. This change is accomplished in Debian by
> installing the "usrmerge" package and is apparently the default in Fedora.
>
> These changes have been tested in Debian and found to give the same labelling
> as the policy without this patch in almost all cases. The exceptions were
> files where the .fc files in question used one of /bin or /usr/bin that didn't
> match what was done in Debian. The small number of changes to the policy
> caused by this patch FIXED outstanding bugs.
>
> I expect that this won't give any changes to Fedora and it might fix some bugs
> for Gentoo and SUSE.
>
> What it does is remove all duplicates in /bin and /usr/bin etc and uses a
> subs_dist change to make the /usr change not affect policy.
I've merged this, but moved lines to their proper places. I found more
duplicates to remove. I also found some modules_object_t lines that
have incorrectly been in the files module for a long time.
> diff -ru /home/rjc/src/pol-git/config/file_contexts.subs_dist ./config/file_contexts.subs_dist
> --- /home/rjc/src/pol-git/config/file_contexts.subs_dist 2016-12-27 23:12:20.905413820 +1100
> +++ ./config/file_contexts.subs_dist 2017-01-10 18:17:55.371528374 +1100
> @@ -8,10 +8,14 @@
> # It does not perform substitutions as done by sed(1), for
> # example, but aliasing.
> #
> +/bin /usr/bin
> +/lib /usr/lib
> +/lib32 /usr/lib
> +/lib64 /usr/lib
> +/libx32 /usr/libx32
> +/sbin /usr/sbin
> /etc/init.d /etc/rc.d/init.d
> /lib/systemd /usr/lib/systemd
> -/lib32 /lib
> -/lib64 /lib
> /run/lock /var/lock
> /usr/lib32 /usr/lib
> /usr/lib64 /usr/lib
> diff -ru /home/rjc/src/pol-git/policy/modules/admin/bootloader.fc ./policy/modules/admin/bootloader.fc
> --- /home/rjc/src/pol-git/policy/modules/admin/bootloader.fc 2016-12-31 21:09:24.669504632 +1100
> +++ ./policy/modules/admin/bootloader.fc 2017-01-10 17:58:32.497974441 +1100
> @@ -8,9 +8,8 @@
> /etc/yaboot\.conf.* -- gen_context(system_u:object_r:bootloader_etc_t,s0)
> /etc/grub.d(/.*)? -- gen_context(system_u:object_r:bootloader_etc_t,s0)
>
> -/sbin/grub -- gen_context(system_u:object_r:bootloader_exec_t,s0)
> -/sbin/lilo.* -- gen_context(system_u:object_r:bootloader_exec_t,s0)
> -/sbin/ybin.* -- gen_context(system_u:object_r:bootloader_exec_t,s0)
> +/usr/sbin/lilo.* -- gen_context(system_u:object_r:bootloader_exec_t,s0)
> +/usr/sbin/ybin.* -- gen_context(system_u:object_r:bootloader_exec_t,s0)
>
> /usr/sbin/grub -- gen_context(system_u:object_r:bootloader_exec_t,s0)
> /usr/sbin/grub2?-bios-setup -- gen_context(system_u:object_r:bootloader_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/admin/consoletype.fc ./policy/modules/admin/consoletype.fc
> --- /home/rjc/src/pol-git/policy/modules/admin/consoletype.fc 2016-12-31 21:09:24.669504632 +1100
> +++ ./policy/modules/admin/consoletype.fc 2017-01-10 18:00:33.225777203 +1100
> @@ -1,4 +1 @@
> -
> -/sbin/consoletype -- gen_context(system_u:object_r:consoletype_exec_t,s0)
> -
> /usr/sbin/consoletype -- gen_context(system_u:object_r:consoletype_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/admin/dmesg.fc ./policy/modules/admin/dmesg.fc
> --- /home/rjc/src/pol-git/policy/modules/admin/dmesg.fc 2016-12-31 21:09:24.669504632 +1100
> +++ ./policy/modules/admin/dmesg.fc 2017-01-10 17:59:13.147255406 +1100
> @@ -1,4 +1,2 @@
>
> -/bin/dmesg -- gen_context(system_u:object_r:dmesg_exec_t,s0)
> -
> /usr/bin/dmesg -- gen_context(system_u:object_r:dmesg_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/admin/netutils.fc ./policy/modules/admin/netutils.fc
> --- /home/rjc/src/pol-git/policy/modules/admin/netutils.fc 2016-12-31 21:09:24.669504632 +1100
> +++ ./policy/modules/admin/netutils.fc 2017-01-10 17:58:32.497974441 +1100
> @@ -1,8 +1,5 @@
> -/bin/ping.* -- gen_context(system_u:object_r:ping_exec_t,s0)
> -/bin/tracepath.* -- gen_context(system_u:object_r:traceroute_exec_t,s0)
> -/bin/traceroute.* -- gen_context(system_u:object_r:traceroute_exec_t,s0)
> -
> -/sbin/arping -- gen_context(system_u:object_r:netutils_exec_t,s0)
> +/usr/bin/ping.* -- gen_context(system_u:object_r:ping_exec_t,s0)
> +/usr/bin/tracepath.* -- gen_context(system_u:object_r:traceroute_exec_t,s0)
>
> /usr/bin/arping -- gen_context(system_u:object_r:netutils_exec_t,s0)
> /usr/bin/lft -- gen_context(system_u:object_r:traceroute_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/admin/su.fc ./policy/modules/admin/su.fc
> --- /home/rjc/src/pol-git/policy/modules/admin/su.fc 2016-12-31 21:09:24.669504632 +1100
> +++ ./policy/modules/admin/su.fc 2017-01-10 17:58:32.497974441 +1100
> @@ -1,5 +1,5 @@
>
> -/bin/su -- gen_context(system_u:object_r:su_exec_t,s0)
> +/usr/bin/su -- gen_context(system_u:object_r:su_exec_t,s0)
>
> /usr/(local/)?bin/ksu -- gen_context(system_u:object_r:su_exec_t,s0)
> /usr/bin/kdesu -- gen_context(system_u:object_r:su_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/admin/usermanage.fc ./policy/modules/admin/usermanage.fc
> --- /home/rjc/src/pol-git/policy/modules/admin/usermanage.fc 2016-07-28 20:33:39.959961616 +1000
> +++ ./policy/modules/admin/usermanage.fc 2017-01-10 17:58:34.106025127 +1100
> @@ -1,7 +1,3 @@
> -ifdef(`distro_gentoo',`
> -/bin/passwd -- gen_context(system_u:object_r:passwd_exec_t,s0)
> -')
> -
> ifdef(`distro_debian',`
> /etc/cron\.daily/cracklib-runtime -- gen_context(system_u:object_r:crack_exec_t,s0)
> ')
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/acct.fc ./policy/modules/contrib/acct.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/acct.fc 2016-07-30 08:14:41.065649021 +1000
> +++ ./policy/modules/contrib/acct.fc 2017-01-10 17:58:34.106025127 +1100
> @@ -2,8 +2,6 @@
>
> /etc/rc\.d/init\.d/psacct -- gen_context(system_u:object_r:acct_initrc_exec_t,s0)
>
> -/sbin/accton -- gen_context(system_u:object_r:acct_exec_t,s0)
> -
> /usr/sbin/accton -- gen_context(system_u:object_r:acct_exec_t,s0)
>
> /var/account(/.*)? gen_context(system_u:object_r:acct_data_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/alsa.fc ./policy/modules/contrib/alsa.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/alsa.fc 2016-08-22 21:43:27.015004974 +1000
> +++ ./policy/modules/contrib/alsa.fc 2017-01-10 17:58:34.106025127 +1100
> @@ -4,14 +4,9 @@
> /\.config(/.*)? gen_context(system_u:object_r:alsa_var_lib_t,s0)
> ')
>
> -/bin/alsaunmute -- gen_context(system_u:object_r:alsa_exec_t,s0)
> -
> /etc/alsa(/.*)? gen_context(system_u:object_r:alsa_etc_t,s0)
> /etc/asound\.conf gen_context(system_u:object_r:alsa_etc_t,s0)
>
> -/sbin/alsactl -- gen_context(system_u:object_r:alsa_exec_t,s0)
> -/sbin/salsa -- gen_context(system_u:object_r:alsa_exec_t,s0)
> -
> # Systemd unit files
> /usr/lib/systemd/system/[^/]*alsa-restore.* -- gen_context(system_u:object_r:alsa_unit_t,s0)
> /usr/lib/systemd/system/[^/]*alsa-state.* -- gen_context(system_u:object_r:alsa_unit_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/apcupsd.fc ./policy/modules/contrib/apcupsd.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/apcupsd.fc 2016-12-27 23:12:23.553486634 +1100
> +++ ./policy/modules/contrib/apcupsd.fc 2017-01-10 17:58:34.106025127 +1100
> @@ -1,7 +1,5 @@
> /etc/rc\.d/init\.d/apcupsd -- gen_context(system_u:object_r:apcupsd_initrc_exec_t,s0)
>
> -/sbin/apcupsd -- gen_context(system_u:object_r:apcupsd_exec_t,s0)
> -
> /usr/lib/systemd/system/apcupsd.*\.service -- gen_context(system_u:object_r:apcupsd_unit_t,s0)
>
> /usr/sbin/apcupsd -- gen_context(system_u:object_r:apcupsd_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/cachefilesd.fc ./policy/modules/contrib/cachefilesd.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/cachefilesd.fc 2016-12-27 23:12:23.553486634 +1100
> +++ ./policy/modules/contrib/cachefilesd.fc 2017-01-10 17:58:34.106025127 +1100
> @@ -1,7 +1,5 @@
> /etc/rc\.d/init\.d/cachefilesd -- gen_context(system_u:object_r:cachefilesd_initrc_exec_t,s0)
>
> -/sbin/cachefilesd -- gen_context(system_u:object_r:cachefilesd_exec_t,s0)
> -
> /usr/sbin/cachefilesd -- gen_context(system_u:object_r:cachefilesd_exec_t,s0)
>
> /var/cache/fscache(/.*)? gen_context(system_u:object_r:cachefilesd_cache_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/ccs.fc ./policy/modules/contrib/ccs.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/ccs.fc 2016-12-27 23:12:23.557486744 +1100
> +++ ./policy/modules/contrib/ccs.fc 2017-01-10 17:58:34.106025127 +1100
> @@ -2,8 +2,6 @@
>
> /etc/rc\.d/init\.d/((ccs)|(ccsd)) -- gen_context(system_u:object_r:ccs_initrc_exec_t,s0)
>
> -/sbin/ccsd -- gen_context(system_u:object_r:ccs_exec_t,s0)
> -
> /usr/sbin/ccsd -- gen_context(system_u:object_r:ccs_exec_t,s0)
>
> /var/lib/cluster/((ccs)|(ccsd)).* gen_context(system_u:object_r:ccs_var_lib_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/cgroup.fc ./policy/modules/contrib/cgroup.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/cgroup.fc 2016-12-27 23:12:23.557486744 +1100
> +++ ./policy/modules/contrib/cgroup.fc 2017-01-10 17:58:34.110025253 +1100
> @@ -7,10 +7,6 @@
> /etc/rc\.d/init\.d/cgconfig -- gen_context(system_u:object_r:cgconfig_initrc_exec_t,s0)
> /etc/rc\.d/init\.d/cgred -- gen_context(system_u:object_r:cgred_initrc_exec_t,s0)
>
> -/sbin/cgconfigparser -- gen_context(system_u:object_r:cgconfig_exec_t,s0)
> -/sbin/cgrulesengd -- gen_context(system_u:object_r:cgred_exec_t,s0)
> -/sbin/cgclear -- gen_context(system_u:object_r:cgclear_exec_t,s0)
> -
> /usr/sbin/cgconfigparser -- gen_context(system_u:object_r:cgconfig_exec_t,s0)
> /usr/sbin/cgrulesengd -- gen_context(system_u:object_r:cgred_exec_t,s0)
> /usr/sbin/cgclear -- gen_context(system_u:object_r:cgclear_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/cpucontrol.fc ./policy/modules/contrib/cpucontrol.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/cpucontrol.fc 2016-12-31 21:09:27.281585112 +1100
> +++ ./policy/modules/contrib/cpucontrol.fc 2017-01-10 17:58:34.110025253 +1100
> @@ -1,6 +1,4 @@
> -/lib/firmware/microcode.*\.dat -- gen_context(system_u:object_r:cpucontrol_conf_t,s0)
> -
> -/sbin/microcode_ctl -- gen_context(system_u:object_r:cpucontrol_exec_t,s0)
> +/usr/lib/firmware/microcode.*\.dat -- gen_context(system_u:object_r:cpucontrol_conf_t,s0)
>
> /usr/lib/firmware/microcode.*\.dat -- gen_context(system_u:object_r:cpucontrol_conf_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/cups.fc ./policy/modules/contrib/cups.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/cups.fc 2016-12-31 21:09:27.281585112 +1100
> +++ ./policy/modules/contrib/cups.fc 2017-01-10 17:58:35.146057909 +1100
> @@ -18,8 +18,6 @@
>
> /etc/printcap.* -- gen_context(system_u:object_r:cupsd_rw_etc_t,s0)
>
> -/lib/udev/udev-configure-printer -- gen_context(system_u:object_r:cupsd_config_exec_t,s0)
> -
> /opt/brother/Printers(.*/)?inf(/.*)? gen_context(system_u:object_r:cupsd_rw_etc_t,s0)
> /opt/gutenprint/ppds(/.*)? gen_context(system_u:object_r:cupsd_rw_etc_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/dbus.fc ./policy/modules/contrib/dbus.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/dbus.fc 2016-12-27 23:12:23.561486854 +1100
> +++ ./policy/modules/contrib/dbus.fc 2017-01-10 17:58:34.110025253 +1100
> @@ -2,9 +2,7 @@
>
> /etc/dbus-.*(/.*)? gen_context(system_u:object_r:dbusd_etc_t,s0)
>
> -/bin/dbus-daemon -- gen_context(system_u:object_r:dbusd_exec_t,s0)
> -
> -/lib/dbus-.*/dbus-daemon-launch-helper -- gen_context(system_u:object_r:dbusd_exec_t,s0)
> +/usr/bin/dbus-daemon -- gen_context(system_u:object_r:dbusd_exec_t,s0)
>
> /usr/bin/dbus-daemon(-1)? -- gen_context(system_u:object_r:dbusd_exec_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/devicekit.fc ./policy/modules/contrib/devicekit.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/devicekit.fc 2016-12-27 23:12:23.565486964 +1100
> +++ ./policy/modules/contrib/devicekit.fc 2017-01-10 17:58:35.146057909 +1100
> @@ -1,6 +1,3 @@
> -/lib/udev/udisks-part-id -- gen_context(system_u:object_r:devicekit_disk_exec_t,s0)
> -/lib/udisks2/udisksd -- gen_context(system_u:object_r:devicekit_disk_exec_t,s0)
> -
> /usr/lib/udev/udisks-part-id -- gen_context(system_u:object_r:devicekit_disk_exec_t,s0)
> /usr/lib/udisks2/udisksd -- gen_context(system_u:object_r:devicekit_disk_exec_t,s0)
> /usr/lib/udisks/udisks-daemon -- gen_context(system_u:object_r:devicekit_disk_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/drbd.fc ./policy/modules/contrib/drbd.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/drbd.fc 2016-07-30 08:14:41.097649866 +1000
> +++ ./policy/modules/contrib/drbd.fc 2017-01-10 17:58:34.110025253 +1100
> @@ -1,8 +1,5 @@
> /etc/rc\.d/init\.d/drbd -- gen_context(system_u:object_r:drbd_initrc_exec_t,s0)
>
> -/sbin/drbdadm -- gen_context(system_u:object_r:drbd_exec_t,s0)
> -/sbin/drbdsetup -- gen_context(system_u:object_r:drbd_exec_t,s0)
> -
> /usr/lib/ocf/resource.\d/linbit/drbd -- gen_context(system_u:object_r:drbd_exec_t,s0)
>
> /usr/sbin/drbdadm -- gen_context(system_u:object_r:drbd_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/iscsi.fc ./policy/modules/contrib/iscsi.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/iscsi.fc 2016-12-27 23:12:23.577487294 +1100
> +++ ./policy/modules/contrib/iscsi.fc 2017-01-10 17:58:34.110025253 +1100
> @@ -1,9 +1,5 @@
> /etc/rc\.d/init\.d/((iscsi)|(iscsid)) -- gen_context(system_u:object_r:iscsi_initrc_exec_t,s0)
>
> -/sbin/iscsid -- gen_context(system_u:object_r:iscsid_exec_t,s0)
> -/sbin/brcm_iscsiuio -- gen_context(system_u:object_r:iscsid_exec_t,s0)
> -/sbin/iscsiuio -- gen_context(system_u:object_r:iscsid_exec_t,s0)
> -
> /usr/sbin/iscsid -- gen_context(system_u:object_r:iscsid_exec_t,s0)
> /usr/sbin/brcm_iscsiuio -- gen_context(system_u:object_r:iscsid_exec_t,s0)
> /usr/sbin/iscsiuio -- gen_context(system_u:object_r:iscsid_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/kdump.fc ./policy/modules/contrib/kdump.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/kdump.fc 2016-08-07 19:54:37.787262067 +1000
> +++ ./policy/modules/contrib/kdump.fc 2017-01-10 17:58:34.110025253 +1100
> @@ -2,14 +2,9 @@
>
> /etc/rc\.d/init\.d/kdump -- gen_context(system_u:object_r:kdump_initrc_exec_t,s0)
>
> -/bin/kdumpctl -- gen_context(system_u:object_r:kdumpctl_exec_t,s0)
> -
> /usr/bin/kdumpctl -- gen_context(system_u:object_r:kdumpctl_exec_t,s0)
>
> /usr/lib/systemd/system/kdump.*\.service -- gen_context(system_u:object_r:kdump_unit_t,s0)
>
> -/sbin/kdump -- gen_context(system_u:object_r:kdump_exec_t,s0)
> -/sbin/kexec -- gen_context(system_u:object_r:kdump_exec_t,s0)
> -
> /usr/sbin/kdump -- gen_context(system_u:object_r:kdump_exec_t,s0)
> /usr/sbin/kexec -- gen_context(system_u:object_r:kdump_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/kudzu.fc ./policy/modules/contrib/kudzu.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/kudzu.fc 2016-12-27 23:12:23.577487294 +1100
> +++ ./policy/modules/contrib/kudzu.fc 2017-01-10 17:58:34.110025253 +1100
> @@ -1,8 +1,5 @@
> /etc/rc\.d/init\.d/kudzu -- gen_context(system_u:object_r:kudzu_initrc_exec_t,s0)
>
> -/sbin/kmodule -- gen_context(system_u:object_r:kudzu_exec_t,s0)
> -/sbin/kudzu -- gen_context(system_u:object_r:kudzu_exec_t,s0)
> -
> /usr/sbin/kmodule -- gen_context(system_u:object_r:kudzu_exec_t,s0)
> /usr/sbin/kudzu -- gen_context(system_u:object_r:kudzu_exec_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/loadkeys.fc ./policy/modules/contrib/loadkeys.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/loadkeys.fc 2017-01-10 17:57:41.780375375 +1100
> +++ ./policy/modules/contrib/loadkeys.fc 2017-01-10 18:00:07.648971992 +1100
> @@ -1,5 +1,2 @@
> -/bin/loadkeys -- gen_context(system_u:object_r:loadkeys_exec_t,s0)
> -/bin/unikeys -- gen_context(system_u:object_r:loadkeys_exec_t,s0)
> -
> /usr/bin/loadkeys -- gen_context(system_u:object_r:loadkeys_exec_t,s0)
> /usr/bin/unikeys -- gen_context(system_u:object_r:loadkeys_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/mta.fc ./policy/modules/contrib/mta.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/mta.fc 2016-07-30 08:14:41.121650499 +1000
> +++ ./policy/modules/contrib/mta.fc 2017-01-10 17:58:35.118057026 +1100
> @@ -5,8 +5,6 @@
> HOME_DIR/Maildir(/.*)? gen_context(system_u:object_r:mail_home_rw_t,s0)
> HOME_DIR/\.maildir(/.*)? gen_context(system_u:object_r:mail_home_rw_t,s0)
>
> -/bin/mail(x)? -- gen_context(system_u:object_r:sendmail_exec_t,s0)
> -
> /etc/aliases -- gen_context(system_u:object_r:etc_aliases_t,s0)
> /etc/aliases\.db -- gen_context(system_u:object_r:etc_aliases_t,s0)
> /etc/mail(/.*)? gen_context(system_u:object_r:etc_mail_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/networkmanager.fc ./policy/modules/contrib/networkmanager.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/networkmanager.fc 2016-12-27 23:12:23.597487844 +1100
> +++ ./policy/modules/contrib/networkmanager.fc 2017-01-10 17:58:35.118057026 +1100
> @@ -21,9 +21,6 @@
> /usr/lib/systemd/system/[^/]*NetworkManager.* -- gen_context(system_u:object_r:NetworkManager_unit_t,s0)
> /usr/lib/systemd/system/[^/]*wpa_supplicant.* -- gen_context(system_u:object_r:NetworkManager_unit_t,s0)
>
> -/sbin/wpa_cli -- gen_context(system_u:object_r:wpa_cli_exec_t,s0)
> -/sbin/wpa_supplicant -- gen_context(system_u:object_r:NetworkManager_exec_t,s0)
> -
> /usr/bin/NetworkManager -- gen_context(system_u:object_r:NetworkManager_exec_t,s0)
> /usr/bin/wpa_cli -- gen_context(system_u:object_r:wpa_cli_exec_t,s0)
> /usr/bin/wpa_supplicant -- gen_context(system_u:object_r:NetworkManager_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/nis.fc ./policy/modules/contrib/nis.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/nis.fc 2016-12-27 23:12:23.597487844 +1100
> +++ ./policy/modules/contrib/nis.fc 2017-01-10 17:58:35.118057026 +1100
> @@ -5,8 +5,6 @@
>
> /etc/ypserv\.conf -- gen_context(system_u:object_r:ypserv_conf_t,s0)
>
> -/sbin/ypbind -- gen_context(system_u:object_r:ypbind_exec_t,s0)
> -
> /usr/lib/yp/ypxfr -- gen_context(system_u:object_r:ypxfr_exec_t,s0)
>
> /usr/lib/systemd/system/ypbind.*\.service -- gen_context(system_u:object_r:ypbind_unit_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/nut.fc ./policy/modules/contrib/nut.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/nut.fc 2016-12-27 23:12:23.601487954 +1100
> +++ ./policy/modules/contrib/nut.fc 2017-01-10 17:58:35.122057152 +1100
> @@ -4,10 +4,6 @@
> /etc/rc\.d/init\.d/nut-driver -- gen_context(system_u:object_r:nut_initrc_exec_t,s0)
> /etc/rc\.d/init\.d/nut-server -- gen_context(system_u:object_r:nut_initrc_exec_t,s0)
>
> -/sbin/upsd -- gen_context(system_u:object_r:nut_upsd_exec_t,s0)
> -/sbin/upsdrvctl -- gen_context(system_u:object_r:nut_upsdrvctl_exec_t,s0)
> -/sbin/upsmon -- gen_context(system_u:object_r:nut_upsmon_exec_t,s0)
> -
> /usr/lib/cgi-bin/nut/upsimage\.cgi -- gen_context(system_u:object_r:httpd_nutups_cgi_script_exec_t,s0)
> /usr/lib/cgi-bin/nut/upsset\.cgi -- gen_context(system_u:object_r:httpd_nutups_cgi_script_exec_t,s0)
> /usr/lib/cgi-bin/nut/upsstats\.cgi -- gen_context(system_u:object_r:httpd_nutups_cgi_script_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/oddjob.fc ./policy/modules/contrib/oddjob.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/oddjob.fc 2016-12-27 23:12:23.601487954 +1100
> +++ ./policy/modules/contrib/oddjob.fc 2017-01-10 17:58:35.122057152 +1100
> @@ -1,5 +1,3 @@
> -/sbin/mkhomedir_helper -- gen_context(system_u:object_r:oddjob_mkhomedir_exec_t,s0)
> -
> /usr/lib/oddjob/mkhomedir -- gen_context(system_u:object_r:oddjob_mkhomedir_exec_t,s0)
>
> /usr/libexec/oddjob/mkhomedir -- gen_context(system_u:object_r:oddjob_mkhomedir_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/pcmcia.fc ./policy/modules/contrib/pcmcia.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/pcmcia.fc 2016-12-27 23:12:23.601487954 +1100
> +++ ./policy/modules/contrib/pcmcia.fc 2017-01-10 17:58:35.122057152 +1100
> @@ -1,8 +1,5 @@
> /etc/apm/event\.d/pcmcia -- gen_context(system_u:object_r:cardmgr_exec_t,s0)
>
> -/sbin/cardctl -- gen_context(system_u:object_r:cardctl_exec_t,s0)
> -/sbin/cardmgr -- gen_context(system_u:object_r:cardmgr_exec_t,s0)
> -
> /usr/sbin/cardctl -- gen_context(system_u:object_r:cardctl_exec_t,s0)
> /usr/sbin/cardmgr -- gen_context(system_u:object_r:cardmgr_exec_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/plymouthd.fc ./policy/modules/contrib/plymouthd.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/plymouthd.fc 2016-12-27 23:12:23.605488064 +1100
> +++ ./policy/modules/contrib/plymouthd.fc 2017-01-10 17:58:35.122057152 +1100
> @@ -1,7 +1,3 @@
> -/bin/plymouth -- gen_context(system_u:object_r:plymouth_exec_t,s0)
> -
> -/sbin/plymouthd -- gen_context(system_u:object_r:plymouthd_exec_t,s0)
> -
> /usr/bin/plymouth -- gen_context(system_u:object_r:plymouth_exec_t,s0)
>
> # Systemd unit file
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/portmap.fc ./policy/modules/contrib/portmap.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/portmap.fc 2016-12-27 23:12:23.605488064 +1100
> +++ ./policy/modules/contrib/portmap.fc 2017-01-10 17:58:35.122057152 +1100
> @@ -1,9 +1,5 @@
> /etc/rc\.d/init\.d/portmap -- gen_context(system_u:object_r:portmap_initrc_exec_t,s0)
>
> -/sbin/pmap_dump -- gen_context(system_u:object_r:portmap_helper_exec_t,s0)
> -/sbin/pmap_set -- gen_context(system_u:object_r:portmap_helper_exec_t,s0)
> -/sbin/portmap -- gen_context(system_u:object_r:portmap_exec_t,s0)
> -
> /usr/sbin/pmap_dump -- gen_context(system_u:object_r:portmap_helper_exec_t,s0)
> /usr/sbin/pmap_set -- gen_context(system_u:object_r:portmap_helper_exec_t,s0)
> /usr/sbin/portmap -- gen_context(system_u:object_r:portmap_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/portreserve.fc ./policy/modules/contrib/portreserve.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/portreserve.fc 2016-12-27 23:12:23.605488064 +1100
> +++ ./policy/modules/contrib/portreserve.fc 2017-01-10 17:58:35.122057152 +1100
> @@ -2,8 +2,6 @@
>
> /etc/rc\.d/init\.d/portreserve -- gen_context(system_u:object_r:portreserve_initrc_exec_t,s0)
>
> -/sbin/portreserve -- gen_context(system_u:object_r:portreserve_exec_t,s0)
> -
> /usr/sbin/portreserve -- gen_context(system_u:object_r:portreserve_exec_t,s0)
>
> /run/portreserve(/.*)? gen_context(system_u:object_r:portreserve_var_run_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/ppp.fc ./policy/modules/contrib/ppp.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/ppp.fc 2016-12-27 23:12:23.605488064 +1100
> +++ ./policy/modules/contrib/ppp.fc 2017-01-10 17:58:35.126057278 +1100
> @@ -9,9 +9,6 @@
> /etc/ppp/resolv\.conf -- gen_context(system_u:object_r:pppd_etc_rw_t,s0)
> /etc/ppp/(auth|ip(v6|x)?)-(up|down) -- gen_context(system_u:object_r:pppd_initrc_exec_t,s0)
>
> -/sbin/ppp-watch -- gen_context(system_u:object_r:pppd_exec_t,s0)
> -/sbin/pppoe-server -- gen_context(system_u:object_r:pppd_exec_t,s0)
> -
> /usr/lib/systemd/system/ppp.*\.service -- gen_context(system_u:object_r:pppd_unit_t,s0)
>
> /usr/sbin/ipppd -- gen_context(system_u:object_r:pppd_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/prelude.fc ./policy/modules/contrib/prelude.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/prelude.fc 2016-12-27 23:12:23.605488064 +1100
> +++ ./policy/modules/contrib/prelude.fc 2017-01-10 17:58:35.126057278 +1100
> @@ -4,8 +4,6 @@
> /etc/rc\.d/init\.d/prelude-lml -- gen_context(system_u:object_r:prelude_initrc_exec_t,s0)
> /etc/rc\.d/init\.d/prelude-manager -- gen_context(system_u:object_r:prelude_initrc_exec_t,s0)
>
> -/sbin/audisp-prelude -- gen_context(system_u:object_r:prelude_audisp_exec_t,s0)
> -
> /usr/bin/prelude-correlator -- gen_context(system_u:object_r:prelude_correlator_exec_t,s0)
> /usr/bin/prelude-lml -- gen_context(system_u:object_r:prelude_lml_exec_t,s0)
> /usr/bin/prelude-manager -- gen_context(system_u:object_r:prelude_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/quota.fc ./policy/modules/contrib/quota.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/quota.fc 2016-12-27 23:12:23.609488174 +1100
> +++ ./policy/modules/contrib/quota.fc 2017-01-10 17:58:35.126057278 +1100
> @@ -10,9 +10,6 @@
>
> /etc/rc\.d/init\.d/quota_nld -- gen_context(system_u:object_r:quota_nld_initrc_exec_t,s0)
>
> -/sbin/convertquota -- gen_context(system_u:object_r:quota_exec_t,s0)
> -/sbin/quota(check|on) -- gen_context(system_u:object_r:quota_exec_t,s0)
> -
> /usr/sbin/convertquota -- gen_context(system_u:object_r:quota_exec_t,s0)
> /usr/sbin/quota(check|on) -- gen_context(system_u:object_r:quota_exec_t,s0)
> /usr/sbin/quota_nld -- gen_context(system_u:object_r:quota_nld_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/raid.fc ./policy/modules/contrib/raid.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/raid.fc 2016-12-27 23:12:23.609488174 +1100
> +++ ./policy/modules/contrib/raid.fc 2017-01-10 17:58:35.126057278 +1100
> @@ -3,14 +3,6 @@
>
> /etc/rc\.d/init\.d/mdmonitor -- gen_context(system_u:object_r:mdadm_initrc_exec_t,s0)
>
> -/sbin/iprdump -- gen_context(system_u:object_r:mdadm_exec_t,s0)
> -/sbin/iprinit -- gen_context(system_u:object_r:mdadm_exec_t,s0)
> -/sbin/iprupdate -- gen_context(system_u:object_r:mdadm_exec_t,s0)
> -/sbin/mdadm -- gen_context(system_u:object_r:mdadm_exec_t,s0)
> -/sbin/mdmon -- gen_context(system_u:object_r:mdadm_exec_t,s0)
> -/sbin/mdmpd -- gen_context(system_u:object_r:mdadm_exec_t,s0)
> -/sbin/raid-check -- gen_context(system_u:object_r:mdadm_exec_t,s0)
> -
> # Systemd unit files
> /usr/lib/systemd/system/[^/]*mdadm-.* -- gen_context(system_u:object_r:mdadm_unit_t,s0)
> /usr/lib/systemd/system/[^/]*mdmon.* -- gen_context(system_u:object_r:mdadm_unit_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/rdisc.fc ./policy/modules/contrib/rdisc.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/rdisc.fc 2016-07-30 08:14:41.141651028 +1000
> +++ ./policy/modules/contrib/rdisc.fc 2017-01-10 17:58:35.126057278 +1100
> @@ -1,3 +1 @@
> -/sbin/rdisc -- gen_context(system_u:object_r:rdisc_exec_t,s0)
> -
> /usr/sbin/rdisc -- gen_context(system_u:object_r:rdisc_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/readahead.fc ./policy/modules/contrib/readahead.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/readahead.fc 2016-12-27 23:12:23.609488174 +1100
> +++ ./policy/modules/contrib/readahead.fc 2017-01-10 17:58:35.126057278 +1100
> @@ -1,5 +1,3 @@
> -/sbin/readahead.* -- gen_context(system_u:object_r:readahead_exec_t,s0)
> -
> /usr/sbin/readahead.* -- gen_context(system_u:object_r:readahead_exec_t,s0)
>
> /var/lib/readahead(/.*)? gen_context(system_u:object_r:readahead_var_lib_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/resmgr.fc ./policy/modules/contrib/resmgr.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/resmgr.fc 2016-12-27 23:12:23.609488174 +1100
> +++ ./policy/modules/contrib/resmgr.fc 2017-01-10 17:58:35.126057278 +1100
> @@ -2,8 +2,6 @@
>
> /etc/rc\.d/init\.d/resmgr -- gen_context(system_u:object_r:resmgrd_initrc_exec_t,s0)
>
> -/sbin/resmgrd -- gen_context(system_u:object_r:resmgrd_exec_t,s0)
> -
> /usr/sbin/resmgrd -- gen_context(system_u:object_r:resmgrd_exec_t,s0)
>
> /run/\.resmgr_socket -s gen_context(system_u:object_r:resmgrd_var_run_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/rpcbind.fc ./policy/modules/contrib/rpcbind.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/rpcbind.fc 2016-12-27 23:12:23.613488284 +1100
> +++ ./policy/modules/contrib/rpcbind.fc 2017-01-10 17:58:35.130057404 +1100
> @@ -1,7 +1,5 @@
> /etc/rc\.d/init\.d/rpcbind -- gen_context(system_u:object_r:rpcbind_initrc_exec_t,s0)
>
> -/sbin/rpcbind -- gen_context(system_u:object_r:rpcbind_exec_t,s0)
> -
> /usr/sbin/rpcbind -- gen_context(system_u:object_r:rpcbind_exec_t,s0)
>
> /var/cache/rpcbind(/.*)? gen_context(system_u:object_r:rpcbind_var_lib_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/rpc.fc ./policy/modules/contrib/rpc.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/rpc.fc 2016-12-27 23:12:23.613488284 +1100
> +++ ./policy/modules/contrib/rpc.fc 2017-01-10 17:58:35.130057404 +1100
> @@ -4,9 +4,6 @@
> /etc/rc\.d/init\.d/nfslock -- gen_context(system_u:object_r:rpcd_initrc_exec_t,s0)
> /etc/rc\.d/init\.d/rpcidmapd -- gen_context(system_u:object_r:rpcd_initrc_exec_t,s0)
>
> -/sbin/rpc\..* -- gen_context(system_u:object_r:rpcd_exec_t,s0)
> -/sbin/sm-notify -- gen_context(system_u:object_r:rpcd_exec_t,s0)
> -
> /usr/lib/systemd/system/nfs.*\.service -- gen_context(system_u:object_r:nfsd_unit_t,s0)
> /usr/lib/systemd/system/rpc.*\.service -- gen_context(system_u:object_r:rpcd_unit_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/rpm.fc ./policy/modules/contrib/rpm.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/rpm.fc 2016-12-31 21:09:27.285585236 +1100
> +++ ./policy/modules/contrib/rpm.fc 2017-01-10 17:58:35.130057404 +1100
> @@ -1,8 +1,6 @@
> -/bin/rpm -- gen_context(system_u:object_r:rpm_exec_t,s0)
> -
> /etc/rc\.d/init\.d/bcfg2 -- gen_context(system_u:object_r:rpm_initrc_exec_t,s0)
>
> -/sbin/yast2 -- gen_context(system_u:object_r:rpm_exec_t,s0)
> +/usr/sbin/yast2 -- gen_context(system_u:object_r:rpm_exec_t,s0)
>
> /usr/bin/debuginfo-install -- gen_context(system_u:object_r:debuginfo_exec_t,s0)
> /usr/bin/fedora-rmdevelrpms -- gen_context(system_u:object_r:rpm_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/shorewall.fc ./policy/modules/contrib/shorewall.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/shorewall.fc 2016-07-30 08:14:41.149651239 +1000
> +++ ./policy/modules/contrib/shorewall.fc 2017-01-10 17:58:35.130057404 +1100
> @@ -3,9 +3,6 @@
> /etc/shorewall(/.*)? gen_context(system_u:object_r:shorewall_etc_t,s0)
> /etc/shorewall-lite(/.*)? gen_context(system_u:object_r:shorewall_etc_t,s0)
>
> -/sbin/shorewall6? -- gen_context(system_u:object_r:shorewall_exec_t,s0)
> -/sbin/shorewall-lite -- gen_context(system_u:object_r:shorewall_exec_t,s0)
> -
> /usr/sbin/shorewall6? -- gen_context(system_u:object_r:shorewall_exec_t,s0)
> /usr/sbin/shorewall-lite -- gen_context(system_u:object_r:shorewall_exec_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/shutdown.fc ./policy/modules/contrib/shutdown.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/shutdown.fc 2016-12-27 23:12:23.613488284 +1100
> +++ ./policy/modules/contrib/shutdown.fc 2017-01-10 17:58:35.130057404 +1100
> @@ -1,9 +1,5 @@
> /etc/nologin -- gen_context(system_u:object_r:shutdown_etc_t,s0)
>
> -/lib/upstart/shutdown -- gen_context(system_u:object_r:shutdown_exec_t,s0)
> -
> -/sbin/shutdown -- gen_context(system_u:object_r:shutdown_exec_t,s0)
> -
> /usr/lib/upstart/shutdown -- gen_context(system_u:object_r:shutdown_exec_t,s0)
>
> /usr/sbin/shutdown -- gen_context(system_u:object_r:shutdown_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/usbmodules.fc ./policy/modules/contrib/usbmodules.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/usbmodules.fc 2016-07-30 08:14:41.157651450 +1000
> +++ ./policy/modules/contrib/usbmodules.fc 2017-01-10 17:58:35.130057404 +1100
> @@ -1,3 +1 @@
> -/sbin/usbmodules -- gen_context(system_u:object_r:usbmodules_exec_t,s0)
> -
> /usr/sbin/usbmodules -- gen_context(system_u:object_r:usbmodules_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/vpn.fc ./policy/modules/contrib/vpn.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/vpn.fc 2016-12-27 23:12:23.621488504 +1100
> +++ ./policy/modules/contrib/vpn.fc 2017-01-10 17:58:35.134057530 +1100
> @@ -1,5 +1,3 @@
> -/sbin/vpnc -- gen_context(system_u:object_r:vpnc_exec_t,s0)
> -
> /usr/bin/openconnect -- gen_context(system_u:object_r:vpnc_exec_t,s0)
>
> /usr/sbin/vpnc -- gen_context(system_u:object_r:vpnc_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/zosremote.fc ./policy/modules/contrib/zosremote.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/zosremote.fc 2016-07-30 08:14:41.165651661 +1000
> +++ ./policy/modules/contrib/zosremote.fc 2017-01-10 17:58:35.134057530 +1100
> @@ -1,3 +1 @@
> -/sbin/audispd-zos-remote -- gen_context(system_u:object_r:zos_remote_exec_t,s0)
> -
> /usr/sbin/audispd-zos-remote -- gen_context(system_u:object_r:zos_remote_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/kernel/corecommands.fc ./policy/modules/kernel/corecommands.fc
> --- /home/rjc/src/pol-git/policy/modules/kernel/corecommands.fc 2016-12-31 21:09:24.673504756 +1100
> +++ ./policy/modules/kernel/corecommands.fc 2017-01-10 18:02:00.404520096 +1100
> @@ -1,19 +1,17 @@
> #
> # /bin
> #
> -/bin -d gen_context(system_u:object_r:bin_t,s0)
> -/bin/.* gen_context(system_u:object_r:bin_t,s0)
> -/bin/d?ash -- gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/bash -- gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/bash2 -- gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/fish -- gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/ksh.* -- gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/mksh -- gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/mountpoint -- gen_context(system_u:object_r:bin_t,s0)
> -/bin/sash -- gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/tcsh -- gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/yash -- gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/zsh.* -- gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/bin gen_context(system_u:object_r:bin_t,s0)
> +/usr/bin/.* gen_context(system_u:object_r:bin_t,s0)
> +/usr/bin/d?ash -- gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/bin/bash -- gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/bin/bash2 -- gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/bin/ksh.* -- gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/bin/mksh -- gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/bin/mountpoint -- gen_context(system_u:object_r:bin_t,s0)
> +/usr/bin/sash -- gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/bin/yash -- gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/bin/zsh.* -- gen_context(system_u:object_r:shell_exec_t,s0)
>
> #
> # /dev
> @@ -131,30 +129,30 @@
> # /lib
> #
>
> -/lib/nut/.* -- gen_context(system_u:object_r:bin_t,s0)
> -/lib/readahead(/.*)? gen_context(system_u:object_r:bin_t,s0)
> -/lib/security/pam_krb5/pam_krb5_storetmp -- gen_context(system_u:object_r:bin_t,s0)
> -/lib/udev/[^/]* -- gen_context(system_u:object_r:bin_t,s0)
> -/lib/udev/scsi_id -- gen_context(system_u:object_r:bin_t,s0)
> -/lib/upstart(/.*)? gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/nut/.* -- gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/readahead(/.*)? gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/security/pam_krb5/pam_krb5_storetmp -- gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/udev/[^/]* -- gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/udev/scsi_id -- gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/upstart(/.*)? gen_context(system_u:object_r:bin_t,s0)
>
> ifdef(`distro_gentoo',`
> -/lib/dhcpcd/dhcpcd-run-hooks -- gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/dhcpcd/dhcpcd-run-hooks -- gen_context(system_u:object_r:bin_t,s0)
>
> -/lib/rcscripts/addons(/.*)? gen_context(system_u:object_r:bin_t,s0)
> -/lib/rcscripts/sh(/.*)? gen_context(system_u:object_r:bin_t,s0)
> -/lib/rcscripts/net\.modules\.d/helpers\.d/dhclient-.* -- gen_context(system_u:object_r:bin_t,s0)
> -/lib/rcscripts/net\.modules\.d/helpers\.d/udhcpc-.* -- gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/rcscripts/addons(/.*)? gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/rcscripts/sh(/.*)? gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/rcscripts/net\.modules\.d/helpers\.d/dhclient-.* -- gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/rcscripts/net\.modules\.d/helpers\.d/udhcpc-.* -- gen_context(system_u:object_r:bin_t,s0)
> ')
>
> #
> # /sbin
> #
> -/sbin -d gen_context(system_u:object_r:bin_t,s0)
> -/sbin/.* gen_context(system_u:object_r:bin_t,s0)
> -/sbin/insmod_ksymoops_clean -- gen_context(system_u:object_r:bin_t,s0)
> -/sbin/mkfs\.cramfs -- gen_context(system_u:object_r:bin_t,s0)
> -/sbin/nologin -- gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/sbin gen_context(system_u:object_r:bin_t,s0)
> +/usr/sbin/.* gen_context(system_u:object_r:bin_t,s0)
> +/usr/sbin/insmod_ksymoops_clean -- gen_context(system_u:object_r:bin_t,s0)
> +/usr/sbin/mkfs\.cramfs -- gen_context(system_u:object_r:bin_t,s0)
> +/usr/sbin/nologin -- gen_context(system_u:object_r:shell_exec_t,s0)
>
> #
> # /opt
> @@ -181,7 +179,7 @@
> # /usr
> #
> /usr/(.*/)?Bin(/.*)? gen_context(system_u:object_r:bin_t,s0)
> -/usr/(.*/)?bin(/.*)? gen_context(system_u:object_r:bin_t,s0)
> +/usr/bin(/.*)? gen_context(system_u:object_r:bin_t,s0)
> /usr/bin/d?ash -- gen_context(system_u:object_r:shell_exec_t,s0)
> /usr/bin/bash -- gen_context(system_u:object_r:shell_exec_t,s0)
> /usr/bin/bash2 -- gen_context(system_u:object_r:shell_exec_t,s0)
> @@ -196,10 +194,10 @@
> /usr/bin/yash -- gen_context(system_u:object_r:shell_exec_t,s0)
> /usr/bin/zsh.* -- gen_context(system_u:object_r:shell_exec_t,s0)
>
> -/usr/lib(.*/)?bin(/.*)? gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/(.*/)?bin(/.*)? gen_context(system_u:object_r:bin_t,s0)
>
> /usr/(.*/)?sbin(/.*)? gen_context(system_u:object_r:bin_t,s0)
> -/usr/lib(.*/)?sbin(/.*)? gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/(.*/)?sbin(/.*)? gen_context(system_u:object_r:bin_t,s0)
>
> /usr/lib/at-spi2-core(/.*)? gen_context(system_u:object_r:bin_t,s0)
> /usr/lib/avahi/avahi-daemon-check-dns\.sh -- gen_context(system_u:object_r:bin_t,s0)
> @@ -284,14 +282,14 @@
> /usr/lib/[^/]*/mozilla-xremote-client -- gen_context(system_u:object_r:bin_t,s0)
> /usr/lib/thunderbird.*/mozilla-xremote-client -- gen_context(system_u:object_r:bin_t,s0)
>
> -/usr/lib/xen/bin(/.*)? gen_context(system_u:object_r:bin_t,s0)
> -
> /usr/libexec(/.*)? gen_context(system_u:object_r:bin_t,s0)
> /usr/libexec/git-core/git-shell -- gen_context(system_u:object_r:shell_exec_t,s0)
> /usr/libexec/sesh -- gen_context(system_u:object_r:shell_exec_t,s0)
>
> /usr/libexec/openssh/sftp-server -- gen_context(system_u:object_r:bin_t,s0)
>
> +/usr/local/bin(/.*)? gen_context(system_u:object_r:bin_t,s0)
> +/usr/local/sbin(/.*)? gen_context(system_u:object_r:bin_t,s0)
> /usr/local/Brother(/.*)? gen_context(system_u:object_r:bin_t,s0)
> /usr/local/Printer(/.*)? gen_context(system_u:object_r:bin_t,s0)
> /usr/local/linuxprinter/filters(/.*)? gen_context(system_u:object_r:bin_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/kernel/corenetwork.fc ./policy/modules/kernel/corenetwork.fc
> --- /home/rjc/src/pol-git/policy/modules/kernel/corenetwork.fc 2017-01-10 17:57:39.236295140 +1100
> +++ ./policy/modules/kernel/corenetwork.fc 2017-01-10 18:02:39.949763456 +1100
> @@ -5,8 +5,5 @@
>
> /dev/net/.* -c gen_context(system_u:object_r:tun_tap_device_t,s0)
>
> -/lib/udev/devices/ppp -c gen_context(system_u:object_r:ppp_device_t,s0)
> -/lib/udev/devices/net/.* -c gen_context(system_u:object_r:tun_tap_device_t,s0)
> -
> /usr/lib/udev/devices/ppp -c gen_context(system_u:object_r:ppp_device_t,s0)
> /usr/lib/udev/devices/net/.* -c gen_context(system_u:object_r:tun_tap_device_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/kernel/devices.fc ./policy/modules/kernel/devices.fc
> --- /home/rjc/src/pol-git/policy/modules/kernel/devices.fc 2016-12-31 21:09:24.673504756 +1100
> +++ ./policy/modules/kernel/devices.fc 2017-01-10 17:58:35.146057909 +1100
> @@ -194,10 +194,10 @@
> /etc/udev/devices -d gen_context(system_u:object_r:device_t,s0)
>
> # used by init scripts to initally populate udev /dev
> -/lib/udev/devices(/.*)? gen_context(system_u:object_r:device_t,s0)
> -/lib/udev/devices/lp.* -c gen_context(system_u:object_r:printer_device_t,s0)
> -/lib/udev/devices/null -c gen_context(system_u:object_r:null_device_t,s0)
> -/lib/udev/devices/zero -c gen_context(system_u:object_r:zero_device_t,s0)
> +/usr/lib/udev/devices(/.*)? gen_context(system_u:object_r:device_t,s0)
> +/usr/lib/udev/devices/lp.* -c gen_context(system_u:object_r:printer_device_t,s0)
> +/usr/lib/udev/devices/null -c gen_context(system_u:object_r:null_device_t,s0)
> +/usr/lib/udev/devices/zero -c gen_context(system_u:object_r:zero_device_t,s0)
>
> /usr/lib/udev/devices(/.*)? gen_context(system_u:object_r:device_t,s0)
> /usr/lib/udev/devices/lp.* -c gen_context(system_u:object_r:printer_device_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/kernel/files.fc ./policy/modules/kernel/files.fc
> --- /home/rjc/src/pol-git/policy/modules/kernel/files.fc 2016-12-31 21:09:24.673504756 +1100
> +++ ./policy/modules/kernel/files.fc 2017-01-10 18:03:25.659199980 +1100
> @@ -106,12 +106,12 @@
> #
> # /lib(64)?
> #
> -/lib/modules(/.*)? gen_context(system_u:object_r:modules_object_t,s0)
> +/usr/lib/modules(/.*)? gen_context(system_u:object_r:modules_object_t,s0)
>
> ifdef(`distro_debian',`
> # on Debian /lib/init/rw is a tmpfs used like /var/run but
> # before /var is mounted
> -/lib/init/rw(/.*)? gen_context(system_u:object_r:var_run_t,s0-mls_systemhigh)
> +/usr/lib/init/rw(/.*)? gen_context(system_u:object_r:var_run_t,s0-mls_systemhigh)
> ')
>
> #
> diff -ru /home/rjc/src/pol-git/policy/modules/kernel/filesystem.fc ./policy/modules/kernel/filesystem.fc
> --- /home/rjc/src/pol-git/policy/modules/kernel/filesystem.fc 2016-12-31 21:09:24.673504756 +1100
> +++ ./policy/modules/kernel/filesystem.fc 2017-01-10 17:58:35.150058035 +1100
> @@ -6,10 +6,10 @@
> /dev/shm -d gen_context(system_u:object_r:tmpfs_t,s0)
> /dev/shm/.* <<none>>
>
> -/lib/udev/devices/hugepages -d gen_context(system_u:object_r:hugetlbfs_t,s0)
> -/lib/udev/devices/hugepages/.* <<none>>
> -/lib/udev/devices/shm -d gen_context(system_u:object_r:tmpfs_t,s0)
> -/lib/udev/devices/shm/.* <<none>>
> +/usr/lib/udev/devices/hugepages -d gen_context(system_u:object_r:hugetlbfs_t,s0)
> +/usr/lib/udev/devices/hugepages/.* <<none>>
> +/usr/lib/udev/devices/shm -d gen_context(system_u:object_r:tmpfs_t,s0)
> +/usr/lib/udev/devices/shm/.* <<none>>
>
> /usr/lib/udev/devices/hugepages -d gen_context(system_u:object_r:hugetlbfs_t,s0)
> /usr/lib/udev/devices/hugepages/.* <<none>>
> diff -ru /home/rjc/src/pol-git/policy/modules/kernel/storage.fc ./policy/modules/kernel/storage.fc
> --- /home/rjc/src/pol-git/policy/modules/kernel/storage.fc 2016-12-31 21:09:24.677504879 +1100
> +++ ./policy/modules/kernel/storage.fc 2017-01-10 18:04:16.428794725 +1100
> @@ -83,8 +83,5 @@
>
> /dev/usb/rio500 -c gen_context(system_u:object_r:removable_device_t,s0)
>
> -/lib/udev/devices/loop.* -b gen_context(system_u:object_r:fixed_disk_device_t,mls_systemhigh)
> -/lib/udev/devices/fuse -c gen_context(system_u:object_r:fuse_device_t,s0)
> -
> /usr/lib/udev/devices/loop.* -b gen_context(system_u:object_r:fixed_disk_device_t,mls_systemhigh)
> /usr/lib/udev/devices/fuse -c gen_context(system_u:object_r:fuse_device_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/kernel/terminal.fc ./policy/modules/kernel/terminal.fc
> --- /home/rjc/src/pol-git/policy/modules/kernel/terminal.fc 2017-01-10 17:57:39.236295140 +1100
> +++ ./policy/modules/kernel/terminal.fc 2017-01-10 17:58:35.762077323 +1100
> @@ -41,5 +41,5 @@
> /dev/tts/[0-9]+ -c gen_context(system_u:object_r:tty_device_t,s0)
>
> # used by init scripts to initally populate udev /dev
> -/lib/udev/devices/console -c gen_context(system_u:object_r:console_device_t,s0)
> +/usr/lib/udev/devices/console -c gen_context(system_u:object_r:console_device_t,s0)
> ')
> diff -ru /home/rjc/src/pol-git/policy/modules/system/authlogin.fc ./policy/modules/system/authlogin.fc
> --- /home/rjc/src/pol-git/policy/modules/system/authlogin.fc 2016-12-31 21:09:24.677504879 +1100
> +++ ./policy/modules/system/authlogin.fc 2017-01-10 18:07:41.183333055 +1100
> @@ -1,5 +1,5 @@
>
> -/bin/login -- gen_context(system_u:object_r:login_exec_t,s0)
> +/usr/bin/login -- gen_context(system_u:object_r:login_exec_t,s0)
>
> /etc/\.pwd\.lock -- gen_context(system_u:object_r:shadow_t,s0)
> /etc/group\.lock -- gen_context(system_u:object_r:shadow_t,s0)
> @@ -7,13 +7,10 @@
> /etc/passwd\.lock -- gen_context(system_u:object_r:shadow_t,s0)
> /etc/shadow.* -- gen_context(system_u:object_r:shadow_t,s0)
>
> -/sbin/pam_console_apply -- gen_context(system_u:object_r:pam_console_exec_t,s0)
> -/sbin/pam_timestamp_check -- gen_context(system_u:object_r:pam_exec_t,s0)
> -/sbin/unix_chkpwd -- gen_context(system_u:object_r:chkpwd_exec_t,s0)
> -/sbin/unix_update -- gen_context(system_u:object_r:updpwd_exec_t,s0)
> -/sbin/unix_verify -- gen_context(system_u:object_r:chkpwd_exec_t,s0)
> +/usr/sbin/pam_console_apply -- gen_context(system_u:object_r:pam_console_exec_t,s0)
> +/usr/sbin/pam_timestamp_check -- gen_context(system_u:object_r:pam_exec_t,s0)
> ifdef(`distro_suse', `
> -/sbin/unix2_chkpwd -- gen_context(system_u:object_r:chkpwd_exec_t,s0)
> +/usr/sbin/unix2_chkpwd -- gen_context(system_u:object_r:chkpwd_exec_t,s0)
> ')
>
> /usr/bin/login -- gen_context(system_u:object_r:login_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/clock.fc ./policy/modules/system/clock.fc
> --- /home/rjc/src/pol-git/policy/modules/system/clock.fc 2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/clock.fc 2017-01-10 17:58:35.134057530 +1100
> @@ -1,6 +1,6 @@
>
> /etc/adjtime -- gen_context(system_u:object_r:adjtime_t,s0)
>
> -/sbin/hwclock -- gen_context(system_u:object_r:hwclock_exec_t,s0)
> +/usr/sbin/hwclock -- gen_context(system_u:object_r:hwclock_exec_t,s0)
>
> /usr/sbin/hwclock -- gen_context(system_u:object_r:hwclock_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/fstools.fc ./policy/modules/system/fstools.fc
> --- /home/rjc/src/pol-git/policy/modules/system/fstools.fc 2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/fstools.fc 2017-01-10 17:58:35.134057530 +1100
> @@ -1,47 +1,42 @@
> -/sbin/badblocks -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/blkid -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/blockdev -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/cfdisk -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/dosfsck -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/dump -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/dumpe2fs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/e2fsck -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/e4fsck -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/e2label -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/fdisk -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/findfs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/fsck.* -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/hdparm -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/install-mbr -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/jfs_.* -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/losetup.* -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/lsraid -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/make_reiser4 -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/mkdosfs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/mke2fs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/mke4fs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/mkfs.* -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/mkraid -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/mkreiserfs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/mkswap -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/parted -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/partprobe -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/partx -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/raidautorun -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/raidstart -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/reiserfs(ck|tune) -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/resize.*fs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/scsi_info -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/sfdisk -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/swapoff -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/swapon.* -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/tune2fs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/zdb -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/zhack -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/zinject -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/zpios -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/zstreamdump -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/ztest -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/badblocks -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/blkid -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/blockdev -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/cfdisk -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/dosfsck -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/dump -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/dumpe2fs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/e2fsck -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/e4fsck -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/e2label -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/fdisk -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/findfs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/hdparm -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/install-mbr -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/jfs_.* -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/losetup.* -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/lsraid -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/make_reiser4 -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/mkdosfs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/mke2fs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/mke4fs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/mkraid -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/mkreiserfs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/mkswap -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/raidautorun -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/raidstart -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/reiserfs(ck|tune) -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/resize.*fs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/scsi_info -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/sfdisk -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/swapoff -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/swapon.* -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/tune2fs -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/zdb -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/zhack -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/zinject -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/zpios -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/zstreamdump -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/ztest -- gen_context(system_u:object_r:fsadm_exec_t,s0)
>
> /usr/bin/partition_uuid -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> /usr/bin/raw -- gen_context(system_u:object_r:fsadm_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/getty.fc ./policy/modules/system/getty.fc
> --- /home/rjc/src/pol-git/policy/modules/system/getty.fc 2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/getty.fc 2017-01-10 17:58:35.134057530 +1100
> @@ -1,7 +1,7 @@
>
> /etc/mgetty(/.*)? gen_context(system_u:object_r:getty_etc_t,s0)
>
> -/sbin/.*getty -- gen_context(system_u:object_r:getty_exec_t,s0)
> +/usr/sbin/.*getty -- gen_context(system_u:object_r:getty_exec_t,s0)
>
> /usr/sbin/.*getty -- gen_context(system_u:object_r:getty_exec_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/system/hostname.fc ./policy/modules/system/hostname.fc
> --- /home/rjc/src/pol-git/policy/modules/system/hostname.fc 2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/hostname.fc 2017-01-10 17:58:35.134057530 +1100
> @@ -1,4 +1,4 @@
>
> -/bin/hostname -- gen_context(system_u:object_r:hostname_exec_t,s0)
> +/usr/bin/hostname -- gen_context(system_u:object_r:hostname_exec_t,s0)
>
> /usr/bin/hostname -- gen_context(system_u:object_r:hostname_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/hotplug.fc ./policy/modules/system/hotplug.fc
> --- /home/rjc/src/pol-git/policy/modules/system/hotplug.fc 2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/hotplug.fc 2017-01-10 17:58:35.138057656 +1100
> @@ -7,8 +7,8 @@
> /run/usb(/.*)? gen_context(system_u:object_r:hotplug_var_run_t,s0)
> /run/hotplug(/.*)? gen_context(system_u:object_r:hotplug_var_run_t,s0)
>
> -/sbin/hotplug -- gen_context(system_u:object_r:hotplug_exec_t,s0)
> -/sbin/netplugd -- gen_context(system_u:object_r:hotplug_exec_t,s0)
> +/usr/sbin/hotplug -- gen_context(system_u:object_r:hotplug_exec_t,s0)
> +/usr/sbin/netplugd -- gen_context(system_u:object_r:hotplug_exec_t,s0)
>
> /usr/sbin/hotplug -- gen_context(system_u:object_r:hotplug_exec_t,s0)
> /usr/sbin/netplugd -- gen_context(system_u:object_r:hotplug_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/init.fc ./policy/modules/system/init.fc
> --- /home/rjc/src/pol-git/policy/modules/system/init.fc 2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/init.fc 2017-01-10 17:58:35.138057656 +1100
> @@ -22,21 +22,17 @@
> #
> # /lib
> #
> -/lib/systemd/systemd -- gen_context(system_u:object_r:init_exec_t,s0)
>
> ifdef(`distro_gentoo', `
> -/lib/rc/init\.d(/.*)? gen_context(system_u:object_r:initrc_state_t,s0)
> +/usr/lib/rc/init\.d(/.*)? gen_context(system_u:object_r:initrc_state_t,s0)
> ')
>
> #
> # /sbin
> #
> -/sbin/init(ng)? -- gen_context(system_u:object_r:init_exec_t,s0)
> -# because nowadays, /sbin/init is often a symlink to /sbin/upstart
> -/sbin/upstart -- gen_context(system_u:object_r:init_exec_t,s0)
>
> ifdef(`distro_gentoo', `
> -/sbin/rc -- gen_context(system_u:object_r:rc_exec_t,s0)
> +/usr/sbin/rc -- gen_context(system_u:object_r:rc_exec_t,s0)
> ')
>
> #
> diff -ru /home/rjc/src/pol-git/policy/modules/system/ipsec.fc ./policy/modules/system/ipsec.fc
> --- /home/rjc/src/pol-git/policy/modules/system/ipsec.fc 2016-12-27 23:12:20.925414371 +1100
> +++ ./policy/modules/system/ipsec.fc 2017-01-10 17:58:35.138057656 +1100
> @@ -18,8 +18,6 @@
> /etc/swanctl -d gen_context(system_u:object_r:ipsec_conf_file_t,s0)
> /etc/swanctl/swanctl.conf -- gen_context(system_u:object_r:ipsec_conf_file_t,s0)
>
> -/sbin/setkey -- gen_context(system_u:object_r:setkey_exec_t,s0)
> -
> /usr/lib/ipsec/_plutoload -- gen_context(system_u:object_r:ipsec_mgmt_exec_t,s0)
> /usr/lib/ipsec/_plutorun -- gen_context(system_u:object_r:ipsec_mgmt_exec_t,s0)
> /usr/lib/ipsec/eroute -- gen_context(system_u:object_r:ipsec_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/iptables.fc ./policy/modules/system/iptables.fc
> --- /home/rjc/src/pol-git/policy/modules/system/iptables.fc 2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/iptables.fc 2017-01-10 17:58:35.138057656 +1100
> @@ -4,18 +4,16 @@
> /etc/sysconfig/ip6?tables.* -- gen_context(system_u:object_r:iptables_conf_t,s0)
> /etc/sysconfig/system-config-firewall.* -- gen_context(system_u:object_r:iptables_conf_t,s0)
>
> -/sbin/ebtables -- gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ebtables-restore -- gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ipchains.* -- gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ipset -- gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ip6?tables -- gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ip6?tables-restore -- gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ip6?tables-multi -- gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ipvsadm -- gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ipvsadm-restore -- gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ipvsadm-save -- gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/nft -- gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/xtables-multi -- gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/ebtables -- gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/ebtables-restore -- gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/ip6?tables -- gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/ip6?tables-restore -- gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/ip6?tables-multi -- gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/ipvsadm -- gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/ipvsadm-restore -- gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/ipvsadm-save -- gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/nft -- gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/xtables-multi -- gen_context(system_u:object_r:iptables_exec_t,s0)
>
> /usr/lib/systemd/system/[^/]*arptables.* -- gen_context(system_u:object_r:iptables_unit_t,s0)
> /usr/lib/systemd/system/[^/]*ebtables.* -- gen_context(system_u:object_r:iptables_unit_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/libraries.fc ./policy/modules/system/libraries.fc
> --- /home/rjc/src/pol-git/policy/modules/system/libraries.fc 2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/libraries.fc 2017-01-10 17:58:35.138057656 +1100
> @@ -35,12 +35,13 @@
> #
> # /lib(64)?
> #
> -/lib -d gen_context(system_u:object_r:lib_t,s0)
> -/lib -l gen_context(system_u:object_r:lib_t,s0)
> -/lib/.* gen_context(system_u:object_r:lib_t,s0)
> -/lib/ld-[^/]*\.so(\.[^/]*)* -- gen_context(system_u:object_r:ld_so_t,s0)
> +/usr/lib gen_context(system_u:object_r:lib_t,s0)
> +/usr/lib64 gen_context(system_u:object_r:lib_t,s0)
> +/usr/lib/.* gen_context(system_u:object_r:lib_t,s0)
> +/usr/lib64/.* gen_context(system_u:object_r:lib_t,s0)
> +/usr/lib/ld-[^/]*\.so(\.[^/]*)* -- gen_context(system_u:object_r:ld_so_t,s0)
>
> -/lib/security/pam_poldi\.so -- gen_context(system_u:object_r:textrel_shlib_t,s0)
> +/usr/lib/security/pam_poldi\.so -- gen_context(system_u:object_r:textrel_shlib_t,s0)
>
> #
> # /opt
> @@ -93,7 +94,7 @@
> #
> # /sbin
> #
> -/sbin/ldconfig -- gen_context(system_u:object_r:ldconfig_exec_t,s0)
> +/usr/sbin/ldconfig -- gen_context(system_u:object_r:ldconfig_exec_t,s0)
>
> #
> # /usr
> @@ -108,7 +109,7 @@
> /usr/(.*/)?lib(/.*)? gen_context(system_u:object_r:lib_t,s0)
> /usr/(.*/)?lib64(/.*)? gen_context(system_u:object_r:lib_t,s0)
>
> -/usr/(.*/)?lib(64)?(/.*)?/ld-[^/]*\.so(\.[^/]*)* gen_context(system_u:object_r:ld_so_t,s0)
> +/usr/lib/(.*/)?ld-[^/]*\.so(\.[^/]*)? -- gen_context(system_u:object_r:ld_so_t,s0)
>
> /usr/(.*/)?nvidia/.+\.so(\..*)? -- gen_context(system_u:object_r:textrel_shlib_t,s0)
>
> @@ -166,10 +167,6 @@
> /usr/lib/xorg/modules/extensions/libglx\.so(\.[^/]*)* -- gen_context(system_u:object_r:textrel_shlib_t,s0)
> /usr/x11R6/lib/modules/extensions/libglx\.so(\.[^/]*)* -- gen_context(system_u:object_r:textrel_shlib_t,s0)
>
> -ifdef(`distro_debian',`
> -/usr/lib -l gen_context(system_u:object_r:lib_t,s0)
> -')
> -
> ifdef(`distro_gentoo',`
> /usr/lib -l gen_context(system_u:object_r:lib_t,s0)
> ')
> diff -ru /home/rjc/src/pol-git/policy/modules/system/locallogin.fc ./policy/modules/system/locallogin.fc
> --- /home/rjc/src/pol-git/policy/modules/system/locallogin.fc 2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/locallogin.fc 2017-01-10 17:58:35.138057656 +1100
> @@ -1,6 +1,6 @@
>
> -/sbin/sulogin -- gen_context(system_u:object_r:sulogin_exec_t,s0)
> -/sbin/sushell -- gen_context(system_u:object_r:sulogin_exec_t,s0)
> +/usr/sbin/sulogin -- gen_context(system_u:object_r:sulogin_exec_t,s0)
> +/usr/sbin/sushell -- gen_context(system_u:object_r:sulogin_exec_t,s0)
>
> /usr/sbin/sulogin -- gen_context(system_u:object_r:sulogin_exec_t,s0)
> /usr/sbin/sushell -- gen_context(system_u:object_r:sulogin_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/logging.fc ./policy/modules/system/logging.fc
> --- /home/rjc/src/pol-git/policy/modules/system/logging.fc 2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/logging.fc 2017-01-10 17:58:35.138057656 +1100
> @@ -6,17 +6,6 @@
> /etc/rc\.d/init\.d/auditd -- gen_context(system_u:object_r:auditd_initrc_exec_t,s0)
> /etc/rc\.d/init\.d/rsyslog -- gen_context(system_u:object_r:syslogd_initrc_exec_t,s0)
>
> -/sbin/audispd -- gen_context(system_u:object_r:audisp_exec_t,s0)
> -/sbin/audisp-remote -- gen_context(system_u:object_r:audisp_remote_exec_t,s0)
> -/sbin/auditctl -- gen_context(system_u:object_r:auditctl_exec_t,s0)
> -/sbin/auditd -- gen_context(system_u:object_r:auditd_exec_t,s0)
> -/sbin/klogd -- gen_context(system_u:object_r:klogd_exec_t,s0)
> -/sbin/minilogd -- gen_context(system_u:object_r:syslogd_exec_t,s0)
> -/sbin/rklogd -- gen_context(system_u:object_r:klogd_exec_t,s0)
> -/sbin/rsyslogd -- gen_context(system_u:object_r:syslogd_exec_t,s0)
> -/sbin/syslogd -- gen_context(system_u:object_r:syslogd_exec_t,s0)
> -/sbin/syslog-ng -- gen_context(system_u:object_r:syslogd_exec_t,s0)
> -
> /usr/lib/systemd/system/auditd.* -- gen_context(system_u:object_r:auditd_unit_t,s0)
> /usr/lib/systemd/system/[^/]*systemd-journal.* -- gen_context(system_u:object_r:syslogd_unit_t,s0)
> /usr/lib/systemd/systemd-journald -- gen_context(system_u:object_r:syslogd_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/lvm.fc ./policy/modules/system/lvm.fc
> --- /home/rjc/src/pol-git/policy/modules/system/lvm.fc 2016-12-31 21:09:24.685505126 +1100
> +++ ./policy/modules/system/lvm.fc 2017-01-10 17:58:35.142057783 +1100
> @@ -7,7 +7,7 @@
> # /bin
> #
> ifdef(`distro_gentoo',`
> -/bin/cryptsetup -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/bin/cryptsetup -- gen_context(system_u:object_r:lvm_exec_t,s0)
> ')
>
> #
> @@ -26,65 +26,64 @@
> #
> # /lib
> #
> -/lib/lvm-10/.* -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/lib/lvm-200/.* -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/lib/udev/udisks-lvm-pv-export -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/lib/lvm-10/.* -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/lib/lvm-200/.* -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/lib/udev/udisks-lvm-pv-export -- gen_context(system_u:object_r:lvm_exec_t,s0)
>
> #
> # /sbin
> #
> -/sbin/cryptsetup -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/dmraid -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/dmsetup -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/dmsetup\.static -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/e2fsadm -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvchange -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvcreate -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvdisplay -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvextend -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvm -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvm\.static -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvmchange -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvmdiskscan -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvmiopversion -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvmsadc -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvmsar -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvreduce -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvremove -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvrename -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvresize -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvs -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvscan -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/multipathd -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/multipath\.static -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/pvchange -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/pvcreate -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/pvdata -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/pvdisplay -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/pvmove -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/pvremove -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/pvs -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/pvscan -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgcfgbackup -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgcfgrestore -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgchange -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgchange\.static -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgck -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgcreate -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgdisplay -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgexport -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgextend -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgimport -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgmerge -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgmknodes -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgreduce -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgremove -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgrename -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgs -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgscan -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgscan\.static -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgsplit -- gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgwrapper -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/cryptsetup -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/dmraid -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/dmsetup -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/dmsetup\.static -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/e2fsadm -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvchange -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvcreate -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvdisplay -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvextend -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvm\.static -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvmchange -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvmdiskscan -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvmiopversion -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvmsadc -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvmsar -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvreduce -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvremove -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvrename -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvresize -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvs -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvscan -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/multipathd -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/multipath\.static -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/pvchange -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/pvcreate -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/pvdata -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/pvdisplay -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/pvmove -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/pvremove -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/pvs -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/pvscan -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgcfgbackup -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgcfgrestore -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgchange -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgchange\.static -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgck -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgcreate -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgdisplay -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgexport -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgextend -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgimport -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgmerge -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgmknodes -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgreduce -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgremove -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgrename -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgs -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgscan -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgscan\.static -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgsplit -- gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgwrapper -- gen_context(system_u:object_r:lvm_exec_t,s0)
>
> #
> # /usr
> diff -ru /home/rjc/src/pol-git/policy/modules/system/modutils.fc ./policy/modules/system/modutils.fc
> --- /home/rjc/src/pol-git/policy/modules/system/modutils.fc 2016-12-31 21:09:24.685505126 +1100
> +++ ./policy/modules/system/modutils.fc 2017-01-10 18:09:53.291691208 +1100
> @@ -1,5 +1,3 @@
> -/bin/kmod -- gen_context(system_u:object_r:kmod_exec_t,s0)
> -
> /etc/modules\.conf.* -- gen_context(system_u:object_r:modules_conf_t,s0)
> /etc/modprobe\.conf.* -- gen_context(system_u:object_r:modules_conf_t,s0)
> /etc/modprobe\.d(/.*)? gen_context(system_u:object_r:modules_conf_t,s0)
> @@ -10,20 +8,8 @@
> /etc/modprobe.devfs.* -- gen_context(system_u:object_r:modules_conf_t,s0)
> ')
>
> -/lib/modules/[^/]+/modules\..+ -- gen_context(system_u:object_r:modules_dep_t,s0)
> -
> -/lib/modules/modprobe\.conf -- gen_context(system_u:object_r:modules_conf_t,s0)
> -
> /run/tmpfiles.d(/.*)? gen_context(system_u:object_r:kmod_var_run_t,s0)
>
> -/sbin/depmod.* -- gen_context(system_u:object_r:kmod_exec_t,s0)
> -/sbin/generate-modprobe\.conf -- gen_context(system_u:object_r:kmod_exec_t,s0)
> -/sbin/insmod.* -- gen_context(system_u:object_r:kmod_exec_t,s0)
> -/sbin/modprobe.* -- gen_context(system_u:object_r:kmod_exec_t,s0)
> -/sbin/modules-update -- gen_context(system_u:object_r:kmod_exec_t,s0)
> -/sbin/rmmod.* -- gen_context(system_u:object_r:kmod_exec_t,s0)
> -/sbin/update-modules -- gen_context(system_u:object_r:kmod_exec_t,s0)
> -
> /usr/bin/kmod -- gen_context(system_u:object_r:kmod_exec_t,s0)
>
> /usr/lib/modules/[^/]+/modules\..+ -- gen_context(system_u:object_r:modules_dep_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/mount.fc ./policy/modules/system/mount.fc
> --- /home/rjc/src/pol-git/policy/modules/system/mount.fc 2017-01-10 17:57:39.244295392 +1100
> +++ ./policy/modules/system/mount.fc 2017-01-10 18:10:39.753222015 +1100
> @@ -1,11 +1,3 @@
> -/bin/fusermount -- gen_context(system_u:object_r:mount_exec_t,s0)
> -/bin/mount.* -- gen_context(system_u:object_r:mount_exec_t,s0)
> -/bin/umount.* -- gen_context(system_u:object_r:mount_exec_t,s0)
> -
> -/sbin/mount\.zfs -- gen_context(system_u:object_r:mount_exec_t,s0)
> -/sbin/zfs -- gen_context(system_u:object_r:mount_exec_t,s0)
> -/sbin/zpool -- gen_context(system_u:object_r:mount_exec_t,s0)
> -
> /usr/bin/fusermount -- gen_context(system_u:object_r:mount_exec_t,s0)
> /usr/bin/mount.* -- gen_context(system_u:object_r:mount_exec_t,s0)
> /usr/bin/umount.* -- gen_context(system_u:object_r:mount_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/netlabel.fc ./policy/modules/system/netlabel.fc
> --- /home/rjc/src/pol-git/policy/modules/system/netlabel.fc 2016-12-31 21:09:24.685505126 +1100
> +++ ./policy/modules/system/netlabel.fc 2017-01-10 17:58:35.142057783 +1100
> @@ -1,3 +1,3 @@
> -/sbin/netlabelctl -- gen_context(system_u:object_r:netlabel_mgmt_exec_t,s0)
> +/usr/sbin/netlabelctl -- gen_context(system_u:object_r:netlabel_mgmt_exec_t,s0)
>
> /usr/sbin/netlabelctl -- gen_context(system_u:object_r:netlabel_mgmt_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/selinuxutil.fc ./policy/modules/system/selinuxutil.fc
> --- /home/rjc/src/pol-git/policy/modules/system/selinuxutil.fc 2016-12-31 21:09:24.685505126 +1100
> +++ ./policy/modules/system/selinuxutil.fc 2017-01-10 17:58:35.142057783 +1100
> @@ -22,9 +22,7 @@
> #
> # /sbin
> #
> -/sbin/load_policy -- gen_context(system_u:object_r:load_policy_exec_t,s0)
> -/sbin/restorecon -- gen_context(system_u:object_r:setfiles_exec_t,s0)
> -/sbin/setfiles.* -- gen_context(system_u:object_r:setfiles_exec_t,s0)
> +/usr/sbin/restorecon -- gen_context(system_u:object_r:setfiles_exec_t,s0)
>
> #
> # /usr
> diff -ru /home/rjc/src/pol-git/policy/modules/system/setrans.fc ./policy/modules/system/setrans.fc
> --- /home/rjc/src/pol-git/policy/modules/system/setrans.fc 2016-12-31 21:09:24.685505126 +1100
> +++ ./policy/modules/system/setrans.fc 2017-01-10 17:58:35.142057783 +1100
> @@ -2,7 +2,7 @@
>
> /run/setrans(/.*)? gen_context(system_u:object_r:setrans_var_run_t,mls_systemhigh)
>
> -/sbin/mcstransd -- gen_context(system_u:object_r:setrans_exec_t,s0)
> +/usr/sbin/mcstransd -- gen_context(system_u:object_r:setrans_exec_t,s0)
>
> /usr/lib/systemd/system/mcstrans.*\.service -- gen_context(system_u:object_r:setrans_unit_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/system/sysnetwork.fc ./policy/modules/system/sysnetwork.fc
> --- /home/rjc/src/pol-git/policy/modules/system/sysnetwork.fc 2016-12-31 21:09:24.685505126 +1100
> +++ ./policy/modules/system/sysnetwork.fc 2017-01-10 18:16:40.301068723 +1100
> @@ -1,11 +1,5 @@
>
> #
> -# /bin
> -#
> -/bin/ifconfig -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/bin/ip -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -
> -#
> # /dev
> #
> ifdef(`distro_debian',`
> @@ -37,24 +31,6 @@
> ')
>
> #
> -# /sbin
> -#
> -/sbin/dhclient.* -- gen_context(system_u:object_r:dhcpc_exec_t,s0)
> -/sbin/dhcdbd -- gen_context(system_u:object_r:dhcpc_exec_t,s0)
> -/sbin/dhcpcd -- gen_context(system_u:object_r:dhcpc_exec_t,s0)
> -/sbin/ethtool -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/ifconfig -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/ip -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/ipx_configure -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/ipx_interface -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/ipx_internal_net -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/iw -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/iwconfig -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/mii-tool -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/pump -- gen_context(system_u:object_r:dhcpc_exec_t,s0)
> -/sbin/tc -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -
> -#
> # /usr
> #
> /usr/bin/ifconfig -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/systemd.fc ./policy/modules/system/systemd.fc
> --- /home/rjc/src/pol-git/policy/modules/system/systemd.fc 2016-12-31 21:09:24.685505126 +1100
> +++ ./policy/modules/system/systemd.fc 2017-01-10 18:18:57.213552868 +1100
> @@ -1,13 +1,3 @@
> -/bin/systemd-analyze -- gen_context(system_u:object_r:systemd_analyze_exec_t,s0)
> -/bin/systemd-cgtop -- gen_context(system_u:object_r:systemd_cgtop_exec_t,s0)
> -/bin/systemd-coredump -- gen_context(system_u:object_r:systemd_coredump_exec_t,s0)
> -/bin/systemd-detect-virt -- gen_context(system_u:object_r:systemd_detect_virt_exec_t,s0)
> -/bin/systemd-nspawn -- gen_context(system_u:object_r:systemd_nspawn_exec_t,s0)
> -/bin/systemd-run -- gen_context(system_u:object_r:systemd_run_exec_t,s0)
> -/bin/systemd-stdio-bridge -- gen_context(system_u:object_r:systemd_stdio_bridge_exec_t,s0)
> -/bin/systemd-tmpfiles -- gen_context(system_u:object_r:systemd_tmpfiles_exec_t,s0)
> -/bin/systemd-tty-ask-password-agent -- gen_context(system_u:object_r:systemd_passwd_agent_exec_t,s0)
> -
> /usr/bin/systemd-analyze -- gen_context(system_u:object_r:systemd_analyze_exec_t,s0)
> /usr/bin/systemd-cgtop -- gen_context(system_u:object_r:systemd_cgtop_exec_t,s0)
> /usr/bin/systemd-coredump -- gen_context(system_u:object_r:systemd_coredump_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/udev.fc ./policy/modules/system/udev.fc
> --- /home/rjc/src/pol-git/policy/modules/system/udev.fc 2016-12-31 21:09:24.685505126 +1100
> +++ ./policy/modules/system/udev.fc 2017-01-10 18:20:03.463719957 +1100
> @@ -9,22 +9,22 @@
> /etc/udev/rules.d(/.*)? gen_context(system_u:object_r:udev_rules_t,s0)
> /etc/udev/scripts/.+ -- gen_context(system_u:object_r:udev_helper_exec_t,s0)
>
> -/lib/udev/udev-acl -- gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/lib/udev/udev-acl -- gen_context(system_u:object_r:udev_exec_t,s0)
>
> ifdef(`distro_debian',`
> -/bin/udevadm -- gen_context(system_u:object_r:udev_exec_t,s0)
> -/lib/udev/create_static_nodes -- gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/bin/udevadm -- gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/lib/udev/create_static_nodes -- gen_context(system_u:object_r:udev_exec_t,s0)
> ')
>
> -/sbin/udev -- gen_context(system_u:object_r:udev_exec_t,s0)
> -/sbin/udevadm -- gen_context(system_u:object_r:udev_exec_t,s0)
> -/sbin/udevd -- gen_context(system_u:object_r:udev_exec_t,s0)
> -/sbin/udevsend -- gen_context(system_u:object_r:udev_exec_t,s0)
> -/sbin/udevstart -- gen_context(system_u:object_r:udev_exec_t,s0)
> -/sbin/wait_for_sysfs -- gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/sbin/udev -- gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/sbin/udevadm -- gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/sbin/udevd -- gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/sbin/udevsend -- gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/sbin/udevstart -- gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/sbin/wait_for_sysfs -- gen_context(system_u:object_r:udev_exec_t,s0)
>
> ifdef(`distro_redhat',`
> -/sbin/start_udev -- gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/sbin/start_udev -- gen_context(system_u:object_r:udev_exec_t,s0)
> ')
>
> /usr/bin/udevinfo -- gen_context(system_u:object_r:udev_exec_t,s0)
> @@ -44,6 +44,5 @@
> /run/udev(/.*)? gen_context(system_u:object_r:udev_var_run_t,s0)
>
> ifdef(`distro_debian',`
> -/lib/systemd/systemd-udevd -- gen_context(system_u:object_r:udev_exec_t,s0)
> /run/xen-hotplug -d gen_context(system_u:object_r:udev_var_run_t,s0)
> ')
--
Chris PeBenito
On Saturday, 4 February 2017 3:20:07 PM AEDT Chris PeBenito wrote:
> I've merged this, but moved lines to their proper places. I found more
> duplicates to remove. I also found some modules_object_t lines that
> have incorrectly been in the files module for a long time.
Great!
I've just attached a patch that fixes some minor issues related to usrmerge
that I discovered after sending the initial patch. I think I sent the second
patch to the list before, but you are better with this one as it's against the
latest git.
--
My Main Blog http://etbe.coker.com.au/
My Documents Blog http://doc.coker.com.au/
-------------- next part --------------
A non-text attachment was scrubbed...
Name: diff
Type: text/x-patch
Size: 3385 bytes
Desc: not available
Url : http://oss.tresys.com/pipermail/refpolicy/attachments/20170205/19bd2106/attachment-0001.bin
On 02/05/17 05:05, Russell Coker wrote:
> On Saturday, 4 February 2017 3:20:07 PM AEDT Chris PeBenito wrote:
>> I've merged this, but moved lines to their proper places. I found more
>> duplicates to remove. I also found some modules_object_t lines that
>> have incorrectly been in the files module for a long time.
>
> Great!
>
> I've just attached a patch that fixes some minor issues related to usrmerge
> that I discovered after sending the initial patch. I think I sent the second
> patch to the list before, but you are better with this one as it's against the
> latest git.
Merged, though I moved some lines around.
> diff -ru /home/rjc/src/pol-git/policy/modules/kernel/corecommands.fc /tmp/pol-git/policy/modules/kernel/corecommands.fc
> --- /home/rjc/src/pol-git/policy/modules/kernel/corecommands.fc 2017-02-05 20:57:06.659564895 +1100
> +++ /tmp/pol-git/policy/modules/kernel/corecommands.fc 2017-02-05 20:59:39.719756827 +1100
> @@ -247,7 +247,7 @@
>
> /usr/libexec/openssh/sftp-server -- gen_context(system_u:object_r:bin_t,s0)
>
> -/usr/local/bin(/.*)? gen_context(system_u:object_r:bin_t,s0)
> +/usr/local/(.*/)?bin(/.*)? gen_context(system_u:object_r:bin_t,s0)
> /usr/local/sbin(/.*)? gen_context(system_u:object_r:bin_t,s0)
> /usr/local/Brother(/.*)? gen_context(system_u:object_r:bin_t,s0)
> /usr/local/Printer(/.*)? gen_context(system_u:object_r:bin_t,s0)
> @@ -261,6 +261,7 @@
> /usr/sbin/sesh -- gen_context(system_u:object_r:shell_exec_t,s0)
> /usr/sbin/smrsh -- gen_context(system_u:object_r:shell_exec_t,s0)
>
> +/usr/share/(.*/)?bin(/.*)? gen_context(system_u:object_r:bin_t,s0)
> /usr/share/ajaxterm/ajaxterm.py.* -- gen_context(system_u:object_r:bin_t,s0)
> /usr/share/ajaxterm/qweb.py.* -- gen_context(system_u:object_r:bin_t,s0)
> /usr/share/apr-0/build/[^/]+\.sh -- gen_context(system_u:object_r:bin_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/services/xserver.fc /tmp/pol-git/policy/modules/services/xserver.fc
> --- /home/rjc/src/pol-git/policy/modules/services/xserver.fc 2017-01-04 21:16:43.475711829 +1100
> +++ /tmp/pol-git/policy/modules/services/xserver.fc 2017-02-05 21:00:45.449564423 +1100
> @@ -61,10 +61,14 @@
> # /usr
> #
>
> -/usr/s?bin/gdm(3)? -- gen_context(system_u:object_r:xdm_exec_t,s0)
> -/usr/s?bin/gdm-binary -- gen_context(system_u:object_r:xdm_exec_t,s0)
> -/usr/s?bin/lxdm(-binary)? -- gen_context(system_u:object_r:xdm_exec_t,s0)
> -/usr/s?bin/[xkw]dm -- gen_context(system_u:object_r:xdm_exec_t,s0)
> +/usr/bin/gdm(3)? -- gen_context(system_u:object_r:xdm_exec_t,s0)
> +/usr/bin/gdm-binary -- gen_context(system_u:object_r:xdm_exec_t,s0)
> +/usr/bin/lxdm(-binary)? -- gen_context(system_u:object_r:xdm_exec_t,s0)
> +/usr/bin/[xkw]dm -- gen_context(system_u:object_r:xdm_exec_t,s0)
> +/usr/sbin/gdm(3)? -- gen_context(system_u:object_r:xdm_exec_t,s0)
> +/usr/sbin/gdm-binary -- gen_context(system_u:object_r:xdm_exec_t,s0)
> +/usr/sbin/lxdm(-binary)? -- gen_context(system_u:object_r:xdm_exec_t,s0)
> +/usr/sbin/[xkw]dm -- gen_context(system_u:object_r:xdm_exec_t,s0)
> /usr/bin/gpe-dm -- gen_context(system_u:object_r:xdm_exec_t,s0)
> /usr/bin/iceauth -- gen_context(system_u:object_r:iceauth_exec_t,s0)
> /usr/bin/slim -- gen_context(system_u:object_r:xdm_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/sysnetwork.fc /tmp/pol-git/policy/modules/system/sysnetwork.fc
> --- /home/rjc/src/pol-git/policy/modules/system/sysnetwork.fc 2017-02-05 20:57:06.671565222 +1100
> +++ /tmp/pol-git/policy/modules/system/sysnetwork.fc 2017-02-05 21:01:59.223593018 +1100
> @@ -39,6 +39,7 @@
> /usr/sbin/dhclient.* -- gen_context(system_u:object_r:dhcpc_exec_t,s0)
> /usr/sbin/dhcdbd -- gen_context(system_u:object_r:dhcpc_exec_t,s0)
> /usr/sbin/dhcpcd -- gen_context(system_u:object_r:dhcpc_exec_t,s0)
> +/usr/sbin/dhcp6c -- gen_context(system_u:object_r:dhcpc_exec_t,s0)
> /usr/sbin/ethtool -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
> /usr/sbin/ifconfig -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
> /usr/sbin/ip -- gen_context(system_u:object_r:ifconfig_exec_t,s0)
--
Chris PeBenito